Я большой сторонник менеджеров паролей. Конечно, есть более эффективные альтернативы паролям, такие как ключи доступа, но если провайдер предлагает только варианты с паролями, как это часто бывает, то ничего не поделаешь. Так что пока что, похоже, мы вынуждены пользоваться паролями.
Все уважающие себя менеджеры паролей заявляют, что не могут видеть ваши пароли, даже если бы они этого хотели. Но исследователи обнаружили, что эти «нулевые» облачные менеджеры паролей более уязвимы, чем предполагает их маркетинг.
Исследователи также предупреждают, что это не повод для паники. Для полной утечки паролей необходимы редкие, серьезные сбои, такие как злонамеренный или полностью скомпрометированный сервер в сочетании с конкретными недостатками конструкции и включенными функциями.
Основная «проблема» заключается в том, что большинство этих менеджеров паролей работают в облаке. Это очень удобно, если вы работаете на другом устройстве и вам нужен доступ, но это также увеличивает площадь атаки. Обмен паролями с другим устройством или другим пользователем открывает возможность нежелательного доступа.
Исследователи протестировали ряд различных поставщиков, включая LastPass, Bitwarden и Dashlane, и разработали несколько сценариев атак, которые могли бы позволить восстановить пароли.
Слабые стороны
Менеджеры паролей с группами пользователей
В группах обмен ключами восстановления, групповыми ключами и открытыми ключами администратора часто означает, что они извлекаются с сервера без гарантии подлинности. Это означает, что при определенных обстоятельствах злоумышленник может получить доступ.
Когда администратор группы включил такие политики, как «автоматическое или ручное восстановление», их можно незаметно изменить с помощью взломанного сервера, если в «блоке политик» организации (небольшом файле конфигурации) нет защиты целостности.
Слабое шифрование на взломанном сервере
Ваш менеджер паролей берет ваш главный пароль и многократно пропускает его через PBKDF2 (например, 600 000 раз) перед сохранением хеша. Но на взломанном сервере злоумышленник может уменьшить количество итераций, например, до 2, что делает главный пароль легким для угадывания или подбора методом перебора.
Варианты восстановления учетной записи
На взломанном сервере злоумышленник может изменить боб политики и переключить настройки на «автоматическое восстановление», а затем отправить его клиентам. Переключение на автоматическое восстановление помогает злоумышленнику, поскольку позволяет системе передать ключи хранилища без необходимости нажимать «утвердить» или даже замечать, что это происходит.
Таким образом, злоумышленник может превратить то, что должно быть редким, видимым для пользователя аварийным процессом, в бесшумный, рутинный механизм, который он может использовать для извлечения ключей хранилища в большом масштабе или скрытно, целенаправленно.
Обратная совместимость
Чтобы избежать блокировки пользователей на старых клиентах, провайдеры продолжают поддерживать устаревшие иерархии ключей и режимы, не относящиеся к AEAD (аутентифицированное шифрование с ассоциированными данными), такие как CBC (Cipher Block Chaining), без надежных проверок целостности. Это открывает дверь для классических атак понижения версии, когда сервер убеждает клиента использовать более слабые схемы, а затем постепенно восстанавливает открытый текст.
Как оставаться в безопасности
Мы хотим подчеркнуть, что такие атаки будут очень целенаправленными и потребуют высокого уровня компрометации. Таким образом, облачные менеджеры паролей по-прежнему гораздо безопаснее, чем повторное использование паролей и таблицы, но их заявления о «нулевом знании» не выдерживают атак на уровне национального государства.
После ответственного раскрытия информации многие из этих проблем уже были исправлены или смягчены, что снизило количество возможных атак.
Многие из продемонстрированных атак требуют использования специальных функций корпоративного уровня (восстановление учетной записи, общие хранилища, членство в организации) или старых/устаревших клиентов. Поэтому будьте особенно осторожны с ними.
Включите многофакторную аутентификацию для важных учетных записей, чтобы злоумышленнику было недостаточно просто получить ваш пароль.
Мы не просто сообщаем об угрозах — мы помогаем защитить всю вашу цифровую идентичность.
Риски кибербезопасности не должны выходить за рамки заголовков новостей. Защитите личную информацию о себе и своей семье с помощью средств защиты личности.
