Бэкдоры в менеджерах паролей: под сомнением заявления о безопасности хранилищ

Безопасность менеджеров паролей под вопросом: результаты нового исследования

Недавнее расследование показало критические уязвимости в популярных менеджерах паролей, опровергая заявления о "нулевом доступе" и "невозможности просмотра хранилища сервером". Результаты, опубликованные в статье Ars Technica, демонстрируют, как административный доступ или компрометация серверов могут привести к утечке конфиденциальных данных в определённых конфигурациях.

Выявленные технические уязвимости

Исследовательская группа провела реверс-инжиниринг и глубокий анализ Bitwarden, Dashlane и LastPass, сосредоточившись на трёх основных векторах атак:

1. Механизмы восстановления аккаунта

   • Менеджеры паролей с функцией восстановления аккаунта могут хранить ключи шифрования или токены восстановления на стороне сервера
   • Злоумышленники с доступом к серверу могут использовать их для расшифровки содержимого хранилища

2. Обмен хранилищами и групповая организация

   • Функции совместного доступа между пользователями или группами могут полагаться на серверный обмен ключами
   • Компрометация сервера позволяет перехватить или изменить эти ключи во время передачи

3. Атаки на ослабление криптографии

   • Исследователи продемонстрировали методы понижения стойкости шифрования
   • В некоторых случаях шифротекст может быть преобразован в открытый текст через манипуляции на стороне сервера

"Основная проблема заключается в том, что эти менеджеры паролей принимают архитектурные решения, которые по умолчанию доверяют серверу больше, чем это следует из их маркетинговых заявлений", — отметил эксперт по криптографии Брюс Шнайер в своём анализе результатов исследования.

Анализ последствий

Обнаруженные уязвимости представляют серьёзные риски как для частных, так и для корпоративных пользователей:

• Корпоративные риски: Организации, использующие уязвимые менеджеры паролей для совместного доступа к учётным данным, могут подвергнуть целые отделы атакам на сбор учётных данных
• Угроза цепочке поставок: Компрометация серверов менеджеров паролей может стать вектором для массовой кражи учётных данных
• Нарушение нормативных требований: Доступ к хранимым учётным данным может нарушать требования защиты данных, такие как GDPR и HIPAA

Рекомендации по снижению рисков

Специалистам по безопасности следует рассмотреть следующие меры:

1. Анализ архитектуры менеджера паролей

   • Проверить, использует ли выбранное решение настоящее сквозное шифрование
   • Убедиться, что все операции шифрования/расшифровки выполняются на стороне клиента

2. Отключение проблемных функций

   • По возможности отключить опции восстановления аккаунта
   • Ограничить использование функций обмена хранилищами и групповой организации

3. Оценка альтернативных решений

   • Рассмотреть возможность использования офлайн-менеджеров паролей, таких как Password Safe, для особо чувствительных данных
   • Внедрить аппаратные ключи безопасности для критически важных аккаунтов

4. Мониторинг обновлений

   • Следить за исправлениями от производителей, устраняющими архитектурные уязвимости
   • Изучать официальные документы по безопасности вендоров на предмет прозрачности в отношении доверия к серверной части

Исследование подчёркивает важность тщательной проверки заявлений о безопасности, которые делают производители менеджеров паролей, особенно в отношении серверного доступа к зашифрованным данным. Хотя облачные менеджеры паролей предлагают удобство, это исследование показывает, что за удобство может приходиться платить снижением гарантий безопасности.