Top-apps voor wachtwoordbeheer laten uw geheimen volledig bloot - onderzoek
Beveiligingsbewuste techliefhebbers zullen u vertellen dat een wachtwoordbeheerder de beste manier is om uw accountgegevens op één plek, terwijl u ervoor zorgt dat u niet in de verleiding komt om de hoofdzonde van hergebruik te begaan wachtwoorden.
Nieuw onderzoek gepubliceerd door de Washington Post heeft beweerd dat vijf van de meest populaire wachtwoordbeheerdiensten ernstige beveiligingsfouten hebben. Het onderzoek van de onafhankelijke beveiligingsevaluatoren voor ethische hackers stelt dat een aantal van de topapps kwetsbaar is voor ‘gerichte malwareaanvallen’.
Volgens de ISE-rapport, lieten de Windows 10-apps 1Password, Dashlane, KeePass, LastPass en RoboForm vaak wachtwoorden achter in het geheugen van de computer, terwijl apps zich in de ‘vergrendelde’ modus bevonden.
Als gevolg hiervan zouden hackers die toegang krijgen tot een pc, volgens het onderzoek in wezen toegang kunnen krijgen tot deze wachtwoorden in platte tekst. Erger nog, de 1Password, LastPass en Roboform gaven de hoofdwachtwoorden aan het account.
Hoofdonderzoeker Adrian Bednarek vatte het als volgt samen: "De‘ vergrendelingsknop ’op wachtwoordbeheerders is verbroken - de ene ernstiger dan de andere."
Samenvattend schreven de onderzoekers: “We verwachtten dat wachtwoordbeheerders de basisbeginselen van beveiliging zouden toepassen, zoals schrobben geheimen uit het geheugen wanneer ze niet in gebruik zijn en opschoning van het geheugen nadat een wachtwoordbeheerder is uitgelogd en in een vergrendelde staat. We ontdekten echter dat bij alle wachtwoordbeheerders die we onderzochten, triviale geheimen-extractie mogelijk was van een vergrendelde wachtwoordbeheerder, inclusief de master wachtwoord in sommige gevallen, waardoor tot 60 miljoen gebruikers die de wachtwoordmanagers in dit onderzoek gebruiken, worden blootgesteld aan het achterhalen van geheimen van een verondersteld veilig vergrendeld staat."
De onderzoekers concludeerden dat web- en app-gebruikers nog steeds beter af zijn met wachtwoordbeheer-apps dan niet, zelfs degenen die worden getroffen door de beveiligingsfouten. De onderzoekers roepen de industrie echter op om hun spel te verbeteren om te voorkomen dat gebruikers laaghangend fruit worden voor hackers.
Ze voegen eraan toe: "Als wachtwoordmanagers er niet in slagen om geheimen op te schonen in een vergrendelde staat, dan is dit de laaghangende vrucht, die de weg van de minste weerstand biedt naar een succesvol compromis van een wachtwoordbeheerder die op het werkstation van een gebruiker draait. "
Als we wachtwoordbeheer-apps niet kunnen vertrouwen om onze accountgegevens te beschermen, kunnen we dan iemand vertrouwen? Deel uw mening @TrustedReviews op Twitter.
