Мільйони людей використовують менеджери паролів. Відстеження вимог до паролів, таких як поєднання великих і малих літер, цифр, спеціальних символів тощо – не лише для запам'ятовування, а й для зміни кожних кількох місяців – є складним завданням. А менеджери спрощують доступ до онлайн-сервісів та банківських рахунків, а також полегшують платежі за допомогою кредитних карток.
При цьому багато провайдерів обіцяють абсолютну безпеку - дані, як стверджується, настільки зашифровані, що навіть самі провайдери не можуть отримати доступ до них.
Однак дослідники з ETH Zurich показали, що хакери можуть переглядати та навіть змінювати паролі.
Більшість менеджерів паролів працюють у хмарі. Головна перевага полягає у можливості доступу до паролів з різних пристроїв, а також обміну ними з друзями та членами сім'ї. Безпека — найважливіша функція таких менеджерів паролів, оскільки зрештою користувачі зберігають конфіденційні дані у цих зашифрованих сховищах, які зазвичай називають «сховищами». Це може включати дані для входу в онлайн-банкінг або дані кредитних карт.
Тому більшість постачальників послуг рекламують свою продукцію, обіцяючи «шифрування з нульовим розголошенням». Це означає, що вони запевняють користувачів у тому, що їх збережені паролі зашифровані, і навіть самі постачальники послуг не мають «нульового розголошення» інформації про них і доступу до даних, що зберігаються. «Обіцянка полягає в тому, що навіть якщо хтось зможе отримати доступ до сервера, це не є загрозою безпеці для клієнтів, оскільки дані зашифровані і, отже, нечитані. Тепер ми показали, що це не так», – пояснює дослідник Матільд Бакендаль.
Команда виявила «серйозні вразливості безпеки», що означало, що вони «змогли переглядати та навіть вносити зміни до збережених паролів».
Деякі системи, схоже, використовували криптографію епохи 1990-х років, що потенційно робило їх легкою здобиччю для хакерів, які використовують сучасне програмне забезпечення.
Маттео Скарлата, аспірант групи прикладної криптографії, почавши аналізувати код різних менеджерів паролів, швидко виявив дивну архітектуру коду. На його думку, ці компанії намагаються надати своїм клієнтам максимально зручний сервіс, наприклад, пропонуючи можливість відновлення паролів або доступу до облікового запису членам сім'ї.
"В результаті код стає складнішим і заплутанішим, і розширюється потенційна поверхня атаки для хакерів", - пояснює Скарлата. Для таких атак не потрібні особливо потужні комп'ютери чи сервери — досить невеликі програми, здатні імітувати сервер».
"Через великий обсяг конфіденційних даних, які вони містять, менеджери паролів, ймовірно, є цілями для досвідчених хакерів, які здатні проникнути на сервери та розпочати атаки звідти", - сказав Кеннет Патерсон, професор інформатики в ETH Zurich.
