Les meilleures applications de gestion de mots de passe laissent vos secrets pleinement exposés - étude

Les passionnés de technologie soucieux de la sécurité vous diront qu'un gestionnaire de mots de passe est le meilleur moyen de protéger votre les détails du compte en un seul endroit, tout en vous assurant de ne pas être tenté de commettre le péché cardinal de réutiliser mots de passe.

Cependant, de nouvelles recherches publiées par le Washington Post a affirmé que cinq des services de gestion de mots de passe les plus populaires présentaient de graves failles de sécurité. L'étude des pirates éthiques Independent Security Evaluators affirme qu'un certain nombre des principales applications sont vulnérables aux «attaques de logiciels malveillants ciblés».

Selon le Rapport ISE, les applications Windows 10 1Password, Dashlane, KeePass, LastPass et RoboForm laissaient souvent des mots de passe exposés dans la mémoire de l'ordinateur, tandis que les applications étaient en mode «verrouillé».

En conséquence, les pirates qui accèdent à un PC pourraient essentiellement accéder à ces mots de passe en texte brut, selon l'étude. Pire encore, 1Password, LastPass et Roboform ont fourni les mots de passe principaux au compte.

Le chercheur principal Adrian Bednarek l'a résumé ainsi: "Le bouton de verrouillage des gestionnaires de mots de passe est cassé - certains plus sévèrement que d'autres."

Dans l'abstrait, les chercheurs ont écrit: «Nous nous attendions à ce que les gestionnaires de mots de passe emploient les meilleures pratiques de sécurité de base, telles que le nettoyage secrets de la mémoire lorsqu'ils ne sont pas utilisés et désinfection de la mémoire une fois qu'un gestionnaire de mots de passe a été déconnecté et placé dans un Etat. Cependant, nous avons constaté que dans tous les gestionnaires de mots de passe que nous avons examinés, l'extraction de secrets triviaux était possible à partir d'un gestionnaire de mots de passe verrouillé, y compris le maître mot de passe dans certains cas, exposant jusqu'à 60 millions d'utilisateurs qui utilisent les gestionnaires de mots de passe de cette étude à la récupération de secrets à partir d'un verrou supposé sécurisé Etat."

Les chercheurs ont conclu que les utilisateurs du Web et des applications sont toujours mieux lotis d'utiliser les applications de gestion des mots de passe, même celles affectées par les failles de sécurité. Cependant, les chercheurs appellent l'industrie dans son ensemble à améliorer son jeu pour empêcher les utilisateurs de devenir des fruits faciles à manipuler pour les pirates.

Ils ajoutent: «Si les gestionnaires de mots de passe ne parviennent pas à nettoyer les secrets dans un état de fonctionnement verrouillé, alors ce sera le fruit à portée de main, qui offre la voie la moins résistante pour compromettre avec succès un gestionnaire de mots de passe fonctionnant sur le poste de travail d’un utilisateur. »

Si nous ne pouvons pas faire confiance aux applications de gestion des mots de passe pour protéger les détails de notre compte, pouvons-nous faire confiance à qui que ce soit? Partagez vos pensées sur Twitter sur @TrustedReviews.