В популярных менеджерах паролей обнаружены уязвимости

password1 Исследователи из Калифорнийского университета в Беркли выполнили анализ безопасности знаменитых менеджеров для хранения паролей, среди которых такие как NeedMyPassword, LastPass, My1Login, RoboForm и PasswordBox.

В этих парольных веб-менеджерах обнаружены бреши, которые дают возможность преступнику воровать учётные данные юзера.

Мы отыскали бреши в разных функциях, таких как например одноразовые пароли, коллективные пароли и букмарклеты, говорилось в опубликованном научном труде:http://devd.me/papers/pwdmgr-usenix14.pdf. Источники появления ошибок также различаются, от неверного понимания модели безопасности веб-приложений до ошибок аутентификации, в дополнение к классическим брешам типа XSS и CSRF".

Авторы исследования обращают внимание на то, что распространение уязвимых менеджеров паролей лишь портит обстоятельство с безопасностью данных в сети Интернет, потому что они являются критическими узлами — т.е., брешь в одной точке компрометирует ИТ безопасность одновременно на других веб-сайтах, на которых юзер выполнял регистрацию.

Данные о брешах переданы разработчикам ПО. В отчётах исследования не были опубликованы тех. детали уязвимостей, а эксплоиты (exploit) не выкладывались для открытого доступа. Авторы четырёх из пяти затронутых менеджеров паролей, за исключением NeedMyPassword, оперативно среагировали на сообщение и устранили уязвимости.

Потому, как мониторинг мы проводили в ручном режиме, то по всей вероятности в программах сохранились иные бреши, — предупреждают авторы исследования. Они также сообщили, что уже начали работу над инструментом для автоматического поиска брешей, а сами в частности собираются создать совершенно защищённый и надёжный менеджер паролей.

Вместе с тем разработчики программы LastPass рекомендуют юзерам, которые использовали программу до сентября 2013 года, сменить мастер-пароль:http://blog.lastpass.com/2014/07/a-note-from-lastpass.html.

Мы же от себя настоятельно рекомендуем пароли для доступа к онлайн-банкингу хранить в голове или же в зашифрованных архивах, но никогда во всяких веб-менеджерах паролей!


Добавить комментарий


Защитный код
Обновить

2 megabytes