Vulnerabilidades foram identificadas em gerenciadores de senhas executados no Windows 10. Independent Security Evaluators, com sede em Maryland, publicou um relatório no início desta semana revelando resultados de exames em vários gerenciadores de senhas populares.

"Neste documento, propomos garantias de segurança que os gerenciadores de senhas devem oferecer e examinar o funcionamento de cinco gerenciadores de senhas populares direcionados à plataforma Windows 10, " eles disseram.

Limpando segredos da memória quando não estão em uso? Isso é o que as autoridades inicialmente previram que seria o caso dos gerenciadores de senhas. Uma "limpeza da memória depois que um gerenciador de senhas foi desconectado e colocado em um estado bloqueado"? Isso é o que eles previram, também.

Então, o que aconteceu quando eles prosseguiram? Eles disseram que "a extração de segredos triviais era possível a partir de um gerenciador de senhas bloqueado, incluindo a senha mestra em alguns casos. "

Charlie Osborne em ZDNet resumiu as descobertas, escrevendo que "o ISE foi capaz de extrair essas senhas e outras credenciais de login da memória enquanto o gerenciador de senhas em questão estava bloqueado."

PCWorld em 2017 definiu um gerenciador de senhas como "um aplicativo que lembra suas senhas para você e as armazena em um cofre criptografado. Uma senha mestra desbloqueia o cofre quando você precisa recuperar uma senha ou criar uma nova, e faz isso sem que ninguém seja capaz de ler o que você digita por cima do ombro ou rastrear o login com um keylogger. "

Osborne disse em um exemplo, "a senha mestra que os usuários precisam usar para acessar o cache de credenciais foi armazenada na RAM do PC em um texto simples, formato legível. "

Esta não seria a primeira vez que surgiram preocupações sobre como colocar todos os ovos na mesma cesta. Nem será a última vez que você ouvirá todos os contra-argumentos que, risco de lado, ainda vale a pena usar um gerenciador de senhas cuidadosamente escolhido.

PCWorld em 2017 é apenas um dos muitos sites que expressam a opinião de que "apesar dos problemas de bugs e de um mercado inundado de boas e más escolhas, os especialistas em segurança concordam - uma raridade - que os gerenciadores de senhas são a maneira mais segura de as pessoas gerenciarem suas contas. Os benefícios de segurança superam em muito os riscos. "

O registro em 2019 concordaria com isso, mesmo com as descobertas neste relatório recente. "Os gerenciadores de senhas podem deixar suas joias da coroa online 'expostas na RAM' a malware - mas, ei, eles ainda são melhores do que a alternativa. "Essa foi a manchete no início desta semana.

O que é mais, as falhas de segurança que foram reveladas pelo ISE foram descritas por O registro como "ligeiramente irritante" e "sem fim mundial".

Essa visão ressoa com o que o desenvolvedor de segurança da 1Password, Jeffrey Goldberg, disse PCMag em um e-mail. "A ameaça realista desse problema é limitada, ", afirmou." Nenhum gerenciador de senhas (ou qualquer outra coisa) pode prometer rodar com segurança em um computador comprometido. "

"O relatório não sugere de forma alguma que você não deve usar um gerenciador de senhas, "disse Nichols.

Para ter certeza, os autores deixaram bem claro que suas descobertas não apoiavam nenhuma conclusão de que os gerenciadores de senhas não eram apenas inúteis, mas também arriscados. "Em primeiro lugar, "disseram os autores do ISE, "gerenciadores de senhas são uma coisa boa. Todos os gerenciadores de senhas que examinamos agregam valor à postura de segurança do gerenciamento de segredos, e como Troy Hunt, um pesquisador de segurança ativo escreveu certa vez, 'Os gerenciadores de senhas não precisam ser perfeitos, eles apenas têm que ser melhores do que não ter um. "

Sua intenção no artigo não era "criticar implementações específicas do gerenciador de senhas, "mas sim" para estabelecer uma linha de base mínima razoável com a qual todos os gerenciadores de senhas devem obedecer. "

Contudo, está olhando para um problema do gerenciador de senhas, principalmente de "gerenciamento seguro de memória".

Shaun Nichols em O registro viu uma discussão comum entre quatro gerenciadores de senhas que deixaram senhas - "ou a senha mestra ou credenciais individuais - acessível na memória. Isso potencialmente permitiria malware em um sistema, malware particular com direitos de administrador, para obter essas senhas. "

Os autores do relatório apontaram em suas conclusões que "Cada gerenciador de senhas também tentou limpar segredos da memória. Mas permaneceram os buffers residuais que continham segredos, provavelmente devido a vazamentos de memória, referências de memória perdidas, ou estruturas GUI complexas que não expõem mecanismos de gerenciamento de memória interna para limpar segredos. "

Paul Lilly em HotHardware comentou. "A conclusão parece ser que usar um gerenciador de senhas ainda é sábio, mas há espaço para melhorias. "

Poste de Ameaça , Enquanto isso, realizou um número significativo de respostas de empresas gerenciadoras de senhas.

Sandor Palfy, CTO da LastPass, disse que a vulnerabilidade destacada pelo ISE estava presente em um aplicativo Windows "legado", e que o gerenciador de senhas LastPass já recebeu uma atualização para minimizar o risco.

Emmanuel Schalit, CEO da Dashlane, disse uma vez que o dispositivo está comprometido, um invasor acabará tendo acesso a qualquer coisa no dispositivo e não há como evitá-lo efetivamente.

O ISE tinha uma série de recomendações, de acordo com PCMag . Entre seus conselhos estavam (1) usar produtos antivírus confiáveis ​​(2) desligar um gerenciador de senhas completamente quando terminar de usá-lo.

© 2019 Science X Network