Менеджеры паролей ненадёжны, но ими стоит пользоваться
Эксперты в области цифровой безопасности рекомендуют использовать сложный, случайный и уникальный пароль для каждой онлайновой учётной записи. Помнить их все и применять крайне сложно, для этого существуют менеджеры паролей — зашифрованные хранилища логинов/паролей с функцией их автоподстановки, доступ к которым открывается одним мастер-паролем.
Однако, исследователи из Йоркского университета показали, что некоторые коммерческие менеджеры паролей недостаточно надёжны, поскольку используют слабые критерии для идентификации приложений, в которые подставляют логины/пароли. Эта уязвимость позволила им ввести в заблуждение два из пяти проверенных менеджеров паролей, выдав вредоносную программу за легальное приложение Google с тем же именем.
«В свете уязвимостей в некоторых коммерческих менеджерах паролей, выявленных нашим исследованием, мы предлагаем применять в них более строгие критерии соответствия, которые основаны не только на предполагаемом имени пакета приложения», — заявил доктор Сиамак Шахандашти (Siamak Shahandashti).
Исследователи также обнаружили, что в некоторых менеджерах паролей нет ограничений на количество попыток ввода основного ПИН-кода или пароля. Это означает, что, если хакеры получат доступ к чужому устройству, они смогут найти четырехзначный ПИН методом простого перебора примерно за 2,5 часа.
Наряду с новыми уязвимостями, был поверен ряд недоработок, найденных в менеджерах паролей в ходе предыдущего исследования. Как оказалось, оповещённые тогда вендоры устранили некоторые серьёзные упущения, но многие так и остались незакрытыми.
Несмотря на выявленные слабые места менеджеров паролей, учёные всё же рекомендуют использовать их как компаниям, так и отдельным пользователям. «Хотя хакеры могут добраться до информации, хранящейся в них, для этого потребуется организовать довольно сложную атаку».
Презентация работы сотрудников Йоркского университета состоится в сентябре 2020 г. на 35-й Международной конференции по защите приватности и безопасности информационно-коммуникационных систем IFIP SEC.
Источник: ko.com.ua