Top wachtwoordmanager producten hebben volgens een nieuwe studie van onderzoekers van Independent Security Evaluators (ISE) fundamentele gebreken die de gegevens die ze moeten beschermen blootleggen. Hiermee is het gebruik van de software volgens ISE niet veiliger dan het opslaan van wachtwoorden in een tekstbestand.
"Niet minder dan 100 procent van de producten die ISE analyseerde, slaagden er niet in de beveiliging te bieden om de wachtwoorden van een gebruiker te beschermen," aldus Stephen Bono, ceo van ISE. "Hoewel wachtwoordmanagers wel enig nut bieden voor het opslaan van login/wachtwoorden en het beperken van het hergebruik van wachtwoorden, blijken deze toepassingen een kwetsbaar doelwit voor het massaal verzamelen van gegevens door middel van kwaadaardige hackacties".
In het nieuwe rapport getiteld "Under the Hood of Secrets Management" hebben de ISE-onderzoekers ernstige kwetsbaarheden blootgelegd bij 1Password, Dashlane, KeePass en LastPass. ISE onderzocht de onderliggende functionaliteit van deze producten op Windows 10 om te begrijpen hoe de geheime data van gebruikers wordt opgeslagen, ook wanneer de wachtwoordmanager is vergrendeld.
Een belangrijke bevinding was dat het hoofdwachtwoord in bepaalde gevallen in een leesbaar formaat in het geheugen van de computer verbleef. Zodra dit hoofdwachtwoord beschikbaar is voor een aanvaller, kan deze de database (waarin opgeslagen geheimen, gebruikersnamen en wachtwoorden) van de wachtwoordmanager decoderen. Hiermee heeft ISE aangetoond dat het mogelijk is om masterwachtwoorden en andere inloggegevens uit het geheugen te halen terwijl de software was vergrendeld.
ISE adviseert om gevoelige data vooralsnog op een andere manier beter te beveiligen totdat de leveranciers de problemen hebben opgelost. Gebruikers van wachtwoordmanagers moeten de software sowieso niet op de achtergrond laten draaien, zelfs niet in een afgesloten toestand. Daarnaast is het verstandig de service volledig te beëindigen wanneer je een van de genoemde wachtwoordmanagers gebruikt. Volg daarnaast zowel ISE (@ISEsecurity) als IoT Village (@IoTvillage) op Twitter voor updates en nieuws.
Bron: ISE
