Promisiunea gestionarilor de parole că nu pot vedea seiful tău nu este întotdeauna adevărată
Gestionarii de parole au crescut în popularitate în ultimii 15 ani, devenind un instrument de securitate indispensabil. Cu toate acestea, cercetări recente arată că afirmațiile lor că nu pot accesa datele utilizatorilor nu sunt întotdeauna corecte, în special atunci când se efectuează recuperarea contului sau când seiful este partajat. Potrivit arstechnica.com, un atac la server poate duce la furtul datelor din seifuri.
👉 Creșterea popularității și utilizarea gestionariilor de parole
În ultimii 15 ani, gestionarii de parole au evoluat de la un instrument de securitate nișat, utilizat de cei pasionați de tehnologie, la un instrument de securitate indispensabil pentru toată lumea, cu aproximativ 94 de milioane de adulți din SUA—aproape 36% dintre ei—care i-au adoptat. Ei nu stochează doar parole pentru conturi de pensii, financiare și de email, ci și acreditive criptomonedă, numere de carduri de plată și alte date sensibile.
Toți cei opt gestionari de parole de top au adoptat termenul „zero knowledge” pentru a descrie sistemul complex de criptare pe care îl folosesc pentru a proteja seifurile de date stocate pe serverele lor. Definițiile variază ușor de la furnizor la furnizor, dar se pot reduce la o asigurare îndrăzneață: nu există nicio modalitate pentru insideri rău intenționați sau hackeri care reușesc să compromită infrastructura cloud să fură seifuri sau date stocate în acestea. Această promisiune are sens, având în vedere breșele anterioare de securitate ale LastPass și așteptările rezonabile că hackerii de nivel statal au atât motivații cât și capacitate de a obține seifuri de parole aparținând unor ținte de mare valoare.
👉 Vulnerabilități identificate în gestionarii de parole
Un studiu recent arată că aceste afirmații nu sunt adevărate în toate cazurile, în special când se află în vigoare recuperarea contului sau când gestionarii de parole sunt setați să partajeze seifuri sau să organizeze utilizatorii în grupuri. Cercetătorii au efectuat inginerie inversă sau analize detaliate asupra Bitwarden, Dashlane și LastPass și au identificat modalități prin care cineva cu control asupra serverului—fie administrativ, fie în urma unei compromis—poate, de fapt, să fure date și, în unele cazuri, întregi seifuri.
Cercetătorii au elaborat, de asemenea, alte atacuri care pot slăbi criptarea până la punctul în care textul criptat poate fi convertit în text normal. „Vulnerabilitățile pe care le descriem sunt numeroase, dar majoritatea nu sunt adânci dintr-un punct de vedere tehnic,” au scris cercetătorii de la ETH Zurich și USI Lugano. „Cu toate acestea, aparent nu au fost găsite până acum, în ciuda mai mult de un deceniu de cercetare academică asupra gestionării parolelor și a existenței mai multor auditori asupra celor trei produse pe care le-am studiat.”
👉 Atacuri asupra mecanismelor de recuperare a contului
Unul dintre cele mai severe atacuri—vizând Bitwarden și LastPass—permite unui insider sau atacator să citească sau să scrie în conținutul întregului seif. În unele cazuri, exploată slăbiciuni în mecanismele de escrocherie a cheilor care permit utilizatorilor să recupereze accesul la conturile lor atunci când își pierd parola principală. Altele exploatează slăbiciuni în suportul versiunilor legacy ale gestionarii de parole.
Un atac de furt al seifurilor împotriva Dashlane a permis citirea, dar nu modificarea elementelor seifului, atunci când acestea erau partajate cu alți utilizatori. O metodă de atac care vizează escrocheria cheilor Bitwarden este efectuată în timpul înscrierii unui nou membru al unei familii sau organizații. După ce un administrator al grupului Bitwarden invită noul membru, clientul invitatului accesează un server și obține o cheie simetrică de grup și cheia publică a grupului. Clientul criptează apoi cheia simetrică cu cheia publică a grupului și o trimite serverului.
Această dată nu este niciodată verificată pentru integritate când este trimisă de la server la client în timpul unei sesiuni de înscriere a contului. Adversarul poate exploata această slăbiciune prin înlocuirea cheii publice a grupului cu una dintr-un set de chei creat de adversar. Deoarece adversarul cunoaște cheia privată corespunzătoare, o poate folosi pentru a decripta textul criptat și apoi poate efectua o recuperare a contului în numele utilizatorului vizat. Rezultatul este că adversarul poate citi și modifica întreaga conținut a seifului membrului imediat ce un invitat acceptă o invitație din partea unei familii sau organizații.
În mod normal, acest atac ar funcționa doar atunci când un administrator al grupului a activat modul de recuperare automată, care, spre deosebire de o opțiune manuală, nu necesită interacțiune din partea membrului. Dar, deoarece politica grupului pe care clientul o descarcă în timpul sesiunii de înscriere nu este verificată pentru integritate, adversarii pot seta recuperarea la auto, chiar dacă un administrator a ales un mod manual care necesită interacțiune din partea utilizatorului.
În plus, adversarul din acest atac obține, de asemenea, o cheie simetrică a grupului pentru toate celelalte grupuri la care membrul aparține, deoarece astfel de chei sunt cunoscute de toți membrii grupului. Dacă oricare dintre grupurile suplimentare folosește recuperarea contului, adversarul poate obține și seifurile membrilor respective.
Cercetătorii afirmă că, deși compromisele totale ale serverelor de gestionare a parolelor reprezintă un nivel ridicat, modelul de amenințare este justificat. "Atacurile asupra infrastructurii serverului furnizorului pot fi prevenite prin măsuri de securitate operațională bine concepute, dar este rezonabil să presupunem că aceste servicii sunt vizate de adversari sofisticați de nivel statal, de exemplu, prin atacuri pe lanțul de aprovizionare software sau spearphishing," au scris aceștia.
Reprezentanții Bitwarden, Lastpass și Dashlane au recunoscut dificultatea modelului de amenințare, în ciuda afirmațiilor de pe site-urile lor care asigură clienții că produsele lor vor rezista acestor atacuri. De asemenea, au menționat că produsele lor beneficiază de audite de securitate riguroase și de exerciții de red-team. De exemplu, Bitwarden își evaluează și îmbunătățește continuu software-ul prin revizuiri interne, evaluări terță parte și cercetare externă.
În concluzie, cercetătorii au subliniat că "zero knowledge" utilizat de gestionarii de parole poate fi confuz cu dovezi zero-knowledge, o metodă criptografică complet diferită. Deși acest termen este declinat în marketing, cercetătorii avertizează utilizatorii asupra riscurilor sistemelor de gestionare a parolelor care pretind că oferă o protecție totală a datelor.