Lo studio di Password Manager mostra che le password possono essere esposte agli aggressori
- Categoria: Sicurezza
L'utilizzo di un gestore di password è una delle poche opzioni che devi assicurarti di proteggere tutti i tuoi account online con password sicure e impossibili da indovinare.
Il motivo principale è che la maggior parte degli utenti di Internet trova impossibile ricordare password sicure per dozzine o addirittura centinaia di servizi Web, a meno che non utilizzino semplici regole di base o utilizzino ripetutamente la stessa password.
Sebbene i browser Web come Firefox o Google Chrome rendano disponibile un'abbondanza di gestori di password, di solito si tratta di selezionare un gestore di password che offra le funzionalità di cui hai bisogno.
La sicurezza effettiva del gestore di password, come gestisce le password, quando le invia ai server e quando no, non è realmente trasparente per la maggior parte del tempo.
Un recente studio 'Password Managers Exposing Passwords Everywhere' di Marc Blanchou e Paul Youn di Isecpartners ha analizzato il modo in cui i gestori di password basati su browser interagiscono con i siti Web quando vengono attivati.
I ricercatori hanno esaminato LastPass, IPassword e MaskMe per Chrome e Firefox e OneLastPass per Chrome. In particolare, hanno esaminato quando e come quei gestori di password hanno compilato le informazioni sulle password.
Il risultato potrebbe essere una sorpresa per gli utenti di gestori di password, ma è stato riscontrato che tutti e quattro i programmi esaminati si comportano male in un modo o nell'altro.
HTTP vs HTTPS : Il gestore di password MaskMe non distingue tra schemi HTTP e HTTPS, il che significa che compilerà il modulo della password indipendentemente dallo schema. Questo può essere sfruttato ad esempio da attacchi man-in-the-middle.
Un hacker man-in-the-middle, ad esempio su una rete wireless pubblica, potrebbe semplicemente reindirizzare le vittime a false versioni HTTP di siti Web popolari con moduli di accesso e JavaScript che vengono inviati automaticamente dopo essere stati compilati automaticamente da MaskMe. Chiunque utilizzi MaskMe con il riempimento automatico abilitato (questo è il comportamento predefinito) potrebbe vedersi rapidamente rubare le password semplicemente connettendosi a un punto di accesso dannoso e le vittime non lo saprebbero mai.
Invio di password attraverso origini : LastPass, OneLastPass e MaskMe hanno inviato password in base alle origini. Ciò significa che i gestori di password interessati compileranno e invieranno le informazioni di autenticazione sui siti anche se l'indirizzo a cui vengono inviate le informazioni è diverso dal sito in cui si trova l'utente.
Ignora i sottodomini: Tutti e quattro i gestori di password gestiscono sottodomini uguali al dominio principale. Ciò significa che le informazioni di accesso vengono compilate nel dominio principale, ma anche in tutti i sottodomini dello stesso nome di dominio.
Pagina di login : Tutti i gestori di password esaminati nello studio non limitano le loro attività a una pagina di accesso precedentemente utilizzata dall'utente. Se è stato salvato un accesso per un nome di dominio, tutti i moduli di accesso su quel nome di dominio vengono gestiti come tali indipendentemente dal fatto che siano stati utilizzati in precedenza o meno.
Queste pratiche, alcune gestite in questo modo per comodità, potrebbero mettere a rischio gli utenti, poiché gli aggressori potrebbero utilizzare questi problemi per rubare le informazioni sulle password.
I ricercatori suggeriscono che gli utenti non utilizzano le funzionalità di riempimento automatico e accesso automatico offerte da alcuni gestori di password. Tutte le aziende sono state informate sui risultati.