MWC 2018
2018
Computex
IFA 2018
Облачные менеджеры паролей традиционно обещают пользователям полную безопасность данных за счёт механизма «шифрования с нулевым разглашением». Но, как выяснили исследователи Швейцарской высшей технической школы Цюриха (ETH Zurich), этой модели не соответствуют даже такие уважаемые сервисы как Bitwarden, LastPass и Dashlane.
Источник изображения: Jakub Żerdzicki / unsplash.com
Три указанных сервиса управляют учётными данными примерно 60 млн пользователей, и это значительная доля рынка. Чтобы проверить надёжность этих сервисов, исследователи обратились к «модели угроз со стороны вредоносных серверов» — они смоделировали работу серверов, способных вести себя аномально при взаимодействии с клиентами, например, при входе в систему или синхронизации данных. В результате они провели 12 успешных атак на Bitwarden, семь на LastPass и шесть на Dashlane. Во многих случаях эксперты получили полный доступ к паролям и данным учётных записей, продемонстрировав, как злоумышленники могут манипулировать обычными действиями пользователей для взлома хранилищ.
Уязвимости оказались серьёзнее, чем ожидалось, отметили исследователи. Аналогичные проблемы фиксировались в других облачных приложениях, но эксперты исходили из того, что менеджеры паролей разрабатывались как более надёжные средства защиты. Основной проблемой оказалось чрезмерно большое влияние серверов на процесс расшифровки — сказывается противоречие между безопасностью и удобством для пользователей. Для удобства пользователей им предлагают такие функции как восстановление учётной записи и семейный доступ. Но из-за этих удобств система усложняется, а поверхность атаки расширяется.
Источник изображения: Towfiqu / unsplash.com
Швейцарские учёные дали компаниям, в сервисах которых обнаружили уязвимости, 90 дней на их устранение, прежде чем публично раскрыть результаты исследования. Большинство поставщиков отреагировали конструктивно, а некоторые решали свои проблемы недостаточно быстро. Операторы сервисов неохотно пересматривают системы шифрования из-за опасений, что пользователи могут потерять доступ к хранящимся данным — это особенно актуально для корпоративных клиентов, которые управляют данными сотрудников в разных организациях. Из-за этого многие поставщики продолжают использовать средства шифрования, разработанные ещё в девяностые годы и считающиеся устаревшими в академических кругах.
Чтобы устранить выявленные проблемы, учёные предлагают гибридную модель перехода: переводить новых клиентов на обновлённые архитектуры, а существующим пользователям дать возможность добровольно перейти на системы нового образца, полностью осознавая риски. Актуальные системы, считают исследователи, должны по умолчанию работать с использованием современного сквозного шифрования и проходить проверки с участием сторонних организаций. Несмотря на уязвимости, эксперты продолжают считать менеджеры паролей ценными средствами для управления сотнями учётных данных, что актуально для большинства пользователей. Предпочтение они рекомендовали отдавать сервисам, операторы которых открыто заявляют об ограничениях в области безопасности и регулярно проходят независимую проверку. Важно не дискредитировать какие-то технологии, а обеспечить всей отрасли прозрачность и надёжные принципы проектирования, заключили учёные.
Источник:
