Topp passordadministrasjonsapper lar hemmelighetene dine være fullstendig eksponert - studer
Sikkerhetsbevisste tekniske entusiaster vil fortelle deg at passordbehandling er den beste måten å beskytte din kontodetaljer på ett sted, samtidig som du sørger for at du ikke blir fristet til å begå kardinal synd ved gjenbruk passord.
Ny forskning publisert av Washington Post har hevdet at fem av de mest populære passordadministrasjonstjenestene har alvorlige sikkerhetsfeil. Studien fra de etiske hackerne Independent Security Evaluators hevder at en rekke av de beste appene er sårbare for 'målrettede malwareangrep'.
Ifølge ISE-rapport, Windows 10-appene 1Password, Dashlane, KeePass, LastPass og RoboForm etterlot ofte passord i datamaskinens minne, mens appene var i 'låst' modus.
Som et resultat vil hackere som får tilgang til en PC i hovedsak kunne få tilgang til disse passordene i ren tekst, ifølge studien. Enda verre, 1Password, LastPass og Roboform serverte hovedpassordene til kontoen.
Lederforsker Adrian Bednarek oppsummerte det slik: "Låseknappen på passordadministratorer er ødelagt - noen strengere enn andre."
I sammendraget skrev forskerne: “Vi forventet at passordbehandlere ville benytte grunnleggende sikkerhetsrutiner, for eksempel skrubbing hemmeligheter fra minnet når de ikke er i bruk og sanitering av minnet når en passordbehandling ble logget ut og plassert i en låst stat. Imidlertid fant vi ut at i alle passordadministratorer vi undersøkte, var det mulig å trekke ut trivielle hemmeligheter fra en låst passordbehandling, inkludert master passord i noen tilfeller, og utsetter opptil 60 millioner brukere som bruker passordadministratorene i denne studien for hemmeligheter fra en antatt sikker låst stat."
Forskerne konkluderte med at nett- og appbrukere fremdeles har det bedre å bruke apper for passordadministrasjon enn ikke, selv de som er berørt av sikkerhetsfeilene. Forskerne ber imidlertid bransjen som helhet om å øke spillet sitt for å hindre at brukere blir lavthengende frukt for hackere.
De legger til: “Hvis passordbehandlere ikke klarer å sanitere hemmeligheter i en låst løpende tilstand, vil dette være den lavthengende frukten, som gir veien for minst motstand, til vellykket kompromiss med en passordbehandling som kjører på brukerens arbeidsstasjon. "
Hvis vi ikke kan stole på passordadministrasjonsapper for å beskytte kontodetaljene våre, kan vi stole på noen? Del dine tanker @TrustedReviews på Twitter.
