Почему они уязвимы?
Многие менеджеры паролей хранят пароли в зашифрованном виде в облаке. Преимущество этого в том, что вы можете получить доступ к своим паролям на всех своих устройствах, где бы вы ни находились. Важным моментом является то, что ваши пароли зашифрованныйчто гарантирует защиту этих паролей от несанкционированного доступа. Даже если хакеры получат доступ к серверам менеджера паролей, шифрование помешает им.
Но швейцарские исследователи безопасности обнаружили уязвимости в популярных менеджерах паролей Bitwarden, LastPass и Dashlane: «Атаки (исследователей) варьировались от нарушения целостности целевых хранилищ пользователей до полного компрометации всех хранилищ организации, использующей этот сервис. В большинстве случаев исследователям удавалось получить доступ к паролям и даже манипулировать ими».
Исследователи продемонстрировали 12 атак на Bitwarden, 7 на LastPass и 6 на Dashlane. Для этого они создали собственные серверы, которые вели себя как взломанный сервер менеджера паролей. Затем исследователи инициировали «простые взаимодействия, которые пользователи или их браузеры обычно выполняют при использовании менеджера паролей, такие как вход в учетную запись, открытие хранилища, просмотр паролей или синхронизация данных».
Исследователи обнаружили «очень причудливую архитектуру кода», которая, вероятно, была создана потому, что компании пытались «предложить своим клиентам максимально удобный сервис, например, возможность восстанавливать пароли или делиться своей учетной записью с членами семьи».
Это не только делает архитектуру кода более сложной и запутанной, но и увеличивает количество потенциальных точек атаки для хакеров. Исследователи безопасности предупреждают: «Такие атаки не требуют особо мощных компьютеров и серверов, достаточно небольших программ, которые могут подделать личность сервера».
Прежде чем опубликовать свои выводы, исследователи проинформировали каждого менеджера паролей, чтобы у них было достаточно времени для исправления недостатков. Все они отреагировали положительно, но не все исправили недостатки с одинаковой скоростью.
