Букви с долен регистър, такива с горен, цифри, специални символи, в произволен ред. Как ли не измъчват днес горкия потребител една немалка част от сайтовете. И по някое време разбираш, че супер сложната ти парола е разкрита, тъй като сайтът я е съхранявал в некриптиран вид и не е казал, че са ти я откраднали още преди няколко години. Всъщност това е друга тема, която по-добре да не задълбаваме.

На помощ идват мениджърите за управление на пароли – онези полезни малки програмки, които премахват нуждата да товарите уморените си мозъци със запомнянето на символни редове от рода на „Qk5NAEu54V6YAM6“. Идващи под формата на автоматизирани онлайн помощници или като офлайн програми, те попълват вместо вас безумни за запомняне пароли, подобни на посочената преди. А какво става ако вземат, че откраднат главната ви парола? Ами, ако разбият самата програма. Разработчиците на мениджърите на пароли се кълнат, че това е невъзможно. И докато за десктоп версиите може и да имат право тук-там, то за Android, нещата са плачевни просто. Това става ясно от доклад на няколко академични разработчика, които са решили да тестват защитеността на мениджъри за пароли за Android.

TeamSIK, група експерти по информационна защита от Фрауерхофския институт за защитена информационна технология в Дармщат, Германия, анализирали девет от най-популярните мениджъри за пароли за Android, достъпни за сваляне от Google Play. Това включвало My Passwords от Erkan Molla, Password Manager на Informaticore, LastPass, Keeper, F-Secure KEY, Dashlane Password Manager, Keepsafe, Avast Passwords и 1Password – всички те с инсталации от порядъка на 100 000 до пет милиона. Макар и рекламирани, като изключително защитени, всяко от тях съдържало поне по една ниска, средна или критична уязвимост. Авторите на изследването открили общо 26 проблема, много, от които били адресирани в рамките на месец след доклад за тях. Единствените, които не се справили били Avast. „Общите резултати са изключително притеснителни и разкриват, че мениджърите на пароли, макар и твърденията на авторите им, че са достатъчно защитени, не предлагат достатъчно механизми за запазваните в тях пароли и тайна информация. Нещо повече – те всъщност представляват опасност за сигурността на информацията на потребителите и ги излагат на сериозни рискове“, пишат от TeamSIK.

И какви ли проблеми няма. Някои от приложенията запазват главната парола за отключването на сейфовете с пароли във вид на чист текст, други пък разкриват криптиращите ключове в кода на приложението, в други случаи въпросните пароли можело лесно да се извлекат от зловредно приложение, инсталирано на устройството. Някои откривали информация след деинсталирането си (data residue attacks), а други разкривали паролите в атаки, насочени към запазваните в клипборда данни (clipboard sniffing).Едно от приложенията Password Manager на – Informaticore, макар и да пазело паролата в криптиран вид, ключа за криптиране бил съхраняван в кода на приложението и то бил еднакъв за всички инсталации. Подобен проблем бил открит и при Lastpass.

Абонирай се
Извести ме за
guest
1 Коментар
стари
нови
Отзиви
Всички коментари