Исследование Password Manager показывает, что пароли могут быть доступны злоумышленникам

Попробуйте наш инструмент устранения неполадок

lastpass password manager

Использование диспетчера паролей - один из немногих вариантов, которые необходимо обеспечить для защиты всех ваших учетных записей в Интернете с помощью безопасных паролей, которые невозможно угадать.

Основная причина этого в том, что большинство пользователей Интернета не могут запоминать безопасные пароли для десятков или даже сотен веб-служб, если они не используют простые базовые правила или не используют один и тот же пароль повторно.

Хотя веб-браузеры, такие как Firefox или Google Chrome, предоставляют множество менеджеров паролей, обычно все сводится к выбору менеджера паролей, который предлагает функции, которые вам требуются.

Фактическая безопасность диспетчера паролей, то, как он обрабатывает пароли, когда он отправляет их на серверы, а когда нет, большую часть времени не совсем прозрачна.

Недавнее исследование Марка Бланшу и Пола Юна «Менеджеры паролей раскрывают пароли везде». Isecpartners проанализировали, как браузерные менеджеры паролей взаимодействуют с веб-сайтами при их активации.

Исследователи изучили LastPass, IPassword и MaskMe для Chrome и Firefox, а также OneLastPass для Chrome. В частности, они смотрели, когда и как эти менеджеры паролей заполняли информацию о паролях.

Результат может стать неожиданностью для пользователей менеджеров паролей, но было обнаружено, что все четыре исследованные программы в той или иной степени ведут себя некорректно.

HTTP против HTTPS : Менеджер паролей MaskMe не различает схемы HTTP и HTTPS, что означает, что он будет заполнять форму пароля независимо от схемы. Это может быть использовано, например, с помощью атак типа 'злоумышленник посередине'.

Злоумышленник типа «человек посередине», например, в публичной беспроводной сети, может просто перенаправить жертв на поддельные HTTP-версии популярных веб-сайтов с формами входа и JavaScript, которые автоматически отправляются после того, как они автоматически заполняются MaskMe. Любой, кто использует MaskMe с включенным автозаполнением (это поведение по умолчанию), может очень быстро украсть свои пароли, просто подключившись к вредоносной точке доступа, и жертвы никогда не узнают.

Отправка паролей из разных стран : LastPass, OneLastPass и MaskMe отправляли пароли в зависимости от происхождения. Это означает, что затронутые менеджеры паролей будут заполнять и отправлять информацию для аутентификации на сайты, даже если адрес, на который отправляется информация, отличается от сайта, на котором находится пользователь.

Игнорировать поддомены: Все четыре менеджера паролей обрабатывают поддомены, равные корневому домену. Это означает, что данные для входа заполняются в корневом домене, но также и во всех поддоменах с тем же доменным именем.

Страница авторизации : Все менеджеры паролей, исследованные в исследовании, не ограничивают свою деятельность страницей входа в систему, которая ранее использовалась пользователем. Если логин был сохранен для доменного имени, все формы входа в это доменное имя обрабатываются как таковые, независимо от того, использовались они ранее или нет.

Эти методы, некоторые из которых для удобства используются таким образом, могут подвергнуть пользователей риску, поскольку злоумышленники могут использовать эти проблемы для кражи информации о пароле.

Исследователи предполагают, что пользователи не используют функции автозаполнения и автоматического входа в систему, которые предлагают некоторые менеджеры паролей. О результатах проинформированы все компании.