Segurança da Informação – Uma análise em vários aplicativos de gerenciadores de senhas revelou vulnerabilidades que podem colocar em risco a segurança das credenciais dos usuários, de acordo com o Independent Security Evaluators (ISE).
Um novo estudo, Under the Hood of Secrets Management, publicado no último dia 19 de Fevereiro de 2019, descobriu que uma variedade de gerenciadores de senhas diferentes, incluindo 1Password e o LastPass, têm falhas fundamentais de segurança.
Com a proliferação dos serviços on-line, o uso de senhas passou de cerca de 25 senhas por usuário em 2007 para 130 em 2015, e estima-se que cresça para 207 em 2020.
Isso, combinado com uma base de usuários de 60 milhões de gerentes de senhas que foram examinados, cria um ambiente rico em alvos no qual os adversários podem criar cuidadosamente métodos para extrair um crescente e valioso tesouro de segredos e de credenciais.
Um exemplo em que um gerenciador de senhas parece ter sido especificamente direcionado é um ataque que levou à perda de 2.578 unidades da Ethereum (ETH), uma criptocorrência avaliada na época de US$ 1,5 milhão.
O ataque foi realizado contra uma plataforma de assistente de negociação de criptomoedas, a Taylor.
A Taylor divulgou uma declaração indicando que um dispositivo que estava usando o 1Password para o gerenciamento de segredos foi comprometido.
Ainda não está claro se o invasor encontrou um problema de segurança no próprio 1Password ou simplesmente descobriu a senha mestra de alguma outra forma, ou se o compromisso não tinha nada a ver com os gerenciadores de senhas.
Dada a combinação de um número crescente de credenciais contidas em gerenciadores de senhas, o valor desses segredos e as ameaças emergentes especificamente direcionadas aos gerenciadores de senhas, é importante examinarmos o risco aumentado que um usuário ou organização enfrenta em termos de exposição a segredos ao usar um gerenciador de senhas.
Na abordagem do ISE, foram realizadas pesquisas nos gerenciadores de senhas populares para determinar se as defesas comuns que eles empregam contra a extração de segredos eram de fato seguras.
Resultado preocupante
“Cem por cento dos produtos analisados pelo ISE falharam em fornecer a segurança para proteger as senhas de um usuário como anunciado”, disse o CEO da ISE, Stephen Bono, em um comunicado à imprensa.
“Embora os gerenciadores de senhas ofereçam alguma utilidade para armazenar login / senhas e limitar a reutilização de senhas, esses aplicativos são um alvo vulnerável para a coleta em massa desses dados por meio de campanhas maliciosas de hackers.”
Fraquezas de segurança também foram encontradas nos gerenciadores de senhas Dashlane e KeePass, que vieram à tona depois que os pesquisadores do ISE examinaram a funcionalidade subjacente desses produtos no Windows 10 para entender como os segredos dos usuários são armazenados mesmo quando o gerenciador de senhas está bloqueado.
Pesquisadores do ISE já haviam analisado um conjunto de gerenciadores de senhas, por isso esperavam encontrar medidas de segurança melhoradas com o estudo mais recente.
Apesar da promessa dos gestores de senhas de encontrar uma solução para os riscos inerentes à segurança nas senhas, aqueles que foram analisados os dados armazenados em texto simples quando bloqueados.
“Uma grande descoberta foi que, em certos casos, a senha mestra estava residindo na memória do computador em um formato de texto simples legível – não é mais seguro do que armazená-lo em um documento ou na área de trabalho, tanto quanto um adversário”, diz o relatório.
“Os usuários são levados a acreditar que as informações estão seguras quando o gerenciador de senhas está bloqueado. Embora, uma vez que a senha mestra esteja disponível para o invasor, eles podem descriptografar o banco de dados do gerenciador de senhas – os segredos armazenados, nomes de usuário e senhas.
O ISE demonstrou que é possível extrair senhas mestres e outras credenciais de login da memória enquanto o gerenciador de senhas estava bloqueado.”
Apesar das descobertas, o ISE foi rápido em acrescentar que “Em primeiro lugar, os gerenciadores de senhas são uma coisa boa. Todos os gerenciadores de senhas que examinamos agregam valor à postura de segurança do gerenciamento de segredos.”
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Segurança da Informação – Ataque Cibernético atinge servidores Linux para instalação do Trojan Speak Up.
- Segurança da Informação – Nova ferramenta de proxy reverso pode ignorar autenticação de dois fatores e automatizar ataques de phishing.
- Segurança da Informação – Vulnerabilidade crítica em dispositivos CISCO expõe milhares de redes de pequenas e médias empresas.
- Segurança da Informação – Como proteger sua empresa do próximo ataque virtual.
- Segurança da Informação – Novas falhas de escalonamento de privilégios Systemd afetam a maioria das distribuições Linux.
- Segurança da Informação – Trojan de roubo de informações MobSTSPY se torna global com o Google Play.
- Segurança da Informação – Código malicioso Rogue Developer infecta amplamente o módulo NodeJS para roubar bitcoins.
- Segurança da Informação – Como um ataque tipo SamSam acontece e o que você pode fazer para prevenir.
- Segurança da Informação – O que é Confiança Zero? Proteja a Transformação Digital.
- Segurança da Informação – Como proteger uma rede corporativa, servidores e estações de trabalho.
- Práticas recomendadas de segurança física de um Data Center.