Менеджеры паролей ненадежны, но ими стоит пользоваться
Эксперты в области цифровой безопасности рекомендуют использовать сложный, случайный и уникальный пароль для каждой онлайновой учетной записи. Помнить их все и применять крайне сложно, для этого существуют менеджеры паролей - зашифрованные хранилища логинов/паролей с функцией их автоподстановки, доступ к которым открывается одним мастер-паролем.
Однако, исследователи из Йоркского университета показали, что некоторые коммерческие менеджеры паролей недостаточно надежны, поскольку используют слабые критерии для идентификации приложений, в которые подставляют логины/пароли. Эта уязвимость позволила им ввести в заблуждение два из пяти проверенных менеджеров паролей, выдав вредоносную программу за легальное приложение Google с тем же именем.
"В свете уязвимостей в некоторых коммерческих менеджерах паролей, выявленных нашим исследованием, мы предлагаем применять в них более строгие критерии соответствия, которые основаны не только на предполагаемом имени пакета приложения", - заявил доктор Сиамак Шахандашти (Siamak Shahandashti).
Исследователи также обнаружили, что в некоторых менеджерах паролей нет ограничений на количество попыток ввода основного ПИН-кода или пароля. Это означает, что, если хакеры получат доступ к чужому устройству, они смогут найти четырехзначный ПИН методом простого перебора примерно за 2,5 часа.
Наряду с новыми уязвимостями, был поверен ряд недоработок, найденных в менеджерах паролей в ходе предыдущего исследования. Как оказалось, оповещенные тогда вендоры устранили некоторые серьезные упущения, но многие так и остались незакрытыми.
Несмотря на выявленные слабые места менеджеров паролей, ученые все же рекомендуют использовать их как компаниям, так и отдельным пользователям. "Хотя хакеры могут добраться до информации, хранящейся в них, для этого потребуется организовать довольно сложную атаку".
Презентация работы сотрудников Йоркского университета состоится в сентябре 2020 г. на 35-й Международной конференции по защите приватности и безопасности информационно-коммуникационных систем IFIP SEC.