Máme tu další zajímavou studii. Ta od Independent Security Evaluators (ISE) se nyní věnovala správcům hesel, které jsou používány ke zvýšení zabezpečení hesel pro nejrůznější služby. V takovém případě může mít uživatel různá velmi složitá hesla k nejrůznějším službám a ta jsou chráněna hlavním heslem, tzv. master password. Jak ale ukázala tato studie, tito správci mají své vlastní bezpečnostní chyby spojené zejména s tím, jak složité (nebo jednoduché) je získat hlavní heslo, případně ta ostatní, z paměti počítače.
autor: Psyomjesus [CC BY-SA 4.0], přes Wikimedia Commons
Autoři studie se podívali na 1Password4, 1Password7, Dashlane, KeePass a LastPass a v podstatě u všech se z paměti podařilo dostat některé cenné informace, a to dokonce i ve stavu po ukončení práce s ním. V některých případech se podařilo dostat dokonce i k hlavnímu heslu, které bylo k dispozici v plaintextu. Tento fakt ohrožuje zhruba 60 milionů uživatelů, kteří tyto správce hesel používají.
Závažnost jen trochu snižuje ten fakt, že útočník by k zjištění těchto informací musel mít přístup do paměti, tedy být fyzicky přítomen u počítače, případně by počítač musel napadnout nějakým malwarem, díky kterému by měl k počítači přístup. Každopádně ať tak či onak, i děravý správce hesel je stále lepší než žádný, zejména pokud byste bez něj porušovali pravidla tvorby a používání hesel (jednoduchá nebo běžná hesla, všude stejné heslo,...). Připomeňme, že před měsícem se na internetu objevila 87GB databáze uniklých hesel k 773 milionům e-mailových adres. Před pár dny se objevila další databáze na dark webu k prodeji, ta obsahovala údaje k 617 milionům účtů.
Zdroj: techradar.com, securityevaluators.com
