Se han descubierto debilidades en administradores de contraseñas que muestran las credenciales en texto plano en el momento de ejecución e incluso las mantiene almacenadas en memoria mientras la aplicación está funcionando, aún habiéndose cerrado sesión o bloqueado el administrador de passwords.
El equipo de investigadores de Independent Security Evaluator (ISE) ha analizado diferentes gestores de contraseñas, y en cada uno de los casos han obtenido fallos a la hora de gestionar la interacción con las bases de datos o en el uso de la clave maestra.
La buena noticia es que todos los administradores que han sido analizados mantienen con éxito las contraseñas seguras cuando el software no se esta ejecutando, permaneciendo cifradas en su base de datos.
Sin embargo, la cosa cambió cuando observaron cómo estos productos protegen las contraseñas cuando se está ejecutando, tanto en el estado de bloqueo (Cuando la aplicación está encendida pero no está la sesión iniciada) como de desbloqueo (sesión activa, después de ingresar la contraseña maestra). A continuación veremos una breve explicación de los resultados de la investigación.
1Password4 para Windows (v4.6.2.626)
Como puntos positivos de esta versión, en el caso de que un usuario acceda a varias contraseñas de la base de datos, una vez que está logeado, el programa se encarga de eliminar de memoria la contraseña anterior para cargar la nueva seleccionada.
Como punto negativo, tras iniciar sesión, la contraseña maestra se mantiene almacenada en memoria (aunque ofuscada), y al cerrar sesión el programa falla al limpiar dicha contraseña. Por otro lado encontraron un fallo cuando un usuario realiza ciertas acciones, la contraseña maestra se almacena en texto plano en memoria incluso cuando está bloqueado.
1password7 para Windows (v7.2.57)
A pesar de ser una versión actual, se descubrió que es menos segura que su predecesor 1password4, ya que descifra y cachea todas las contraseñas de la base de datos en vez de una por una. También falló al eliminar las contraseñas de memoria, incluyendo la maestra al cerrar sesión.
Dashlane para Windows (v6.1843.0)
Como puntos positivos Dashlane, al igual que 1password4, solo carga en memoria la contraseña que se está utilizando, eliminando la utilizada anteriormente. También destacar el uso de frameworks para el manejo de memoria y GUI que evitan que la información pase por diferentes APIs del sistema.
Como punto negativo, cuando el usuario actualiza algún dato, se expone la base de datos entera en texto plano, manteniéndose hasta incluso cuando cerramos sesión en la aplicación.
KeePass Password Safe (2.40)
Keepas es un proyecto Open Source, y al igual que 1password4, va descifrando según vamos utilizando cada contraseña, almacenándola en memoria. Lo que ocurre es que no va eliminando los registros después de ser utilizados por lo que al rato de ser utilizado, tendremos la lista de contraseñas usadas cargada en memoria. Por otro lado, una vez utilizada la contraseña maestra, se elimina y se vuelve irrecuperable.
LastPass (v4.1.59)
La base de datos entera permanece en memoria incluso cuando está bloqueada o cerramos sesión. Además, cuando se obtiene la clave de descifrado, la contraseña maestra se filtra en un string buffer, de donde no se elimina, incluso cuando la aplicación se bloquea.
Algunas de las marcas afectadas han defendido públicamente sus productos, afirmando que estos problemas descubiertos son parte de complejas decisiones o ‘trade-offs’ de diseño.
LastPass afirmó que había solucionado los problemas encontrados en su producto y señaló que un atacante aún requeriría acceso privilegiado a la máquina del usuario.
Más información:
Nakedsecurity.sophos.com
https://nakedsecurity.sophos.com/2019/02/21/password-managers-leaking-data-in-memory-but-you-should-still-use-one/
Independent Security Evaluators
https://www.securityevaluators.com/casestudies/password-manager-hacking/
y cual aplicación puede ser recomendada a mis usuarios en charlas de concientización?