Группа исследователей из Калифорнийского университета в Беркли проанализировала безопасность пяти популярных парольных веб-менеджеров разработки компаний LastPass, RoboForm, My1Login, PasswordBox и NeedMyPassword. В них найдены уязвимости, которые позволяют постороннему злоумышленнику получить доступ к учётным данным пользователя.

«Мы нашли уязвимости в разнообразных функциях, таких как одноразовые пароли, букмарклеты и совместные пароли, сказано в опубликованной научной работе. — Коренные причины возникновения багов тоже разнятся: от логики и ошибок авторизации до неправильного понимания модели безопасности в вебе, вдобавок к типичным уязвимостям вроде CSRF и XSS».

Исследователи подчёркивают, что распространение «дырявых» парольных менеджеров только ухудшает ситуацию с безопасностью информации в интернете, поскольку они представляют собой критические узлы — уязвимость в одном месте дискредитирует информационную защиту сразу на всех сайтах, где зарегистрирован пользователь.

Информация об уязвимостях передана разработчикам программного обеспечения. В научной работе не опубликованы технические подробности, и эксплойты не выложены в открытый доступ. Разработчики четырёх из пяти упомянутых парольных менеджеров (кроме NeedMyPassword) быстро отреагировали на информацию и исправили ошибки.

«Поскольку мы проводили анализ вручную, то есть вероятность, что в программах остались другие уязвимости», — предупреждают исследователи. Они сообщили, что работают над инструментом для автоматизации поиска уязвимостей, а также сами собираются выпустить абсолютно надёжный и защищённый парольный менеджер, безопасный по своему дизайну.

В то же время разработчики LastPass предупреждают пользователей, которые «использовали букмарклет и программу One Time Passwords до сентября 2013 года на небезопасных сайтах, о необходимости поменять мастер-пароль.



8 комментариев

  1. 15.07.2014 at 00:01

    «Беркли » звучит горда)))

  2. 15.07.2014 at 02:37

    Ну да надо для простоты плебсам оставить только одну утилиту с таким бэкдором, о котором знают только в бэркли …

  3. 15.07.2014 at 12:25

    какая разница есть пароли или нет поролей….большинство итак с удовольствием сливает информацию о себе в соц. сети.

  4. https://vk.com/dolmatov_aleksey

    15.07.2014 at 20:53

    У меня не топовый хранитель паролей предлагает на выбор разные типы шифрования, но я думаю при детальном анализе и в нём можно найти недоработки

  5. 16.07.2014 at 23:11

    Лучший паролный менеджер это- листок и ручка, сныканные в недоступном месте

Оставить мнение