Undersøkelse av passordbehandling viser at passord kan bli utsatt for angripere

lastpass password manager

Å bruke en passordbehandling er et av få alternativer du må sørge for å sikre alle online-kontoene dine med sikre, umulige å gjette passord.

Hovedårsaken til det er at de fleste internettbrukere synes det er umulig å huske sikre passord for flere titalls eller hundrevis av webtjenester, med mindre de bruker enkle grunnleggende regler eller bruker det samme passordet gjentatte ganger.

Mens nettlesere som Firefox eller Google Chrome gjør tilgjengelig en mengde passordbehandlere, kommer det vanligvis ned til å velge en passordbehandler som tilbyr funksjonene du trenger av det.

Den faktiske sikkerheten til passordbehandleren, hvordan den håndterer passord, når den sender dem til servere og når ikke, er egentlig ikke gjennomsiktig mesteparten av tiden.

En fersk studie 'Password Managers Exposure Passwords Everywhere' av Marc Blanchou og Paul Youn av Isecpartners analysert hvordan nettleserbaserte passordledere samhandler med nettsteder når de er aktivert.

Forskerne undersøkte LastPass, IPassword og MaskMe for Chrome og Firefox, og OneLastPass for Chrome. Spesielt så de på når og hvordan disse passordbehandlerne fylte ut passordinformasjon.

Resultatet kan komme som en overraskelse for brukere av passordbehandlere, men alle de fire undersøkte programmene har funnet seg å oppføre seg feil på en eller annen måte.

HTTP vs HTTPS : MaskMe-passordbehandleren skiller ikke mellom HTTP- og HTTPS-ordninger, noe som betyr at den vil fylle ut passordskjemaet uavhengig av skjema. Dette kan utnyttes av mann-i-midten-angrep for eksempel.

En mann-i-midten-angriper, på et offentlig trådløst nettverk, kan ganske enkelt omdirigere ofre til å falske HTTP-versjoner av populære nettsteder med påloggingsskjemaer og JavaScript som automatisk sender inn etter at de automatisk er fylt ut av MaskMe. Alle som bruker MaskMe med automatisk utfylling aktivert (dette er standardoppførselen) kan veldig raskt få passordene sine stjålet ved å bare koble seg til et skadelig tilgangspunkt, og ofrene ville aldri vite det.

Send inn passord på tvers av opprinnelse : LastPass, OneLastPass og MaskMe ble funnet å sende inn passord etter opprinnelse. Det som menes med det er at de berørte passordbehandlerne vil fylle ut og sende autentiseringsinformasjon på nettsteder selv om adressen informasjonen sendes til er forskjellig fra nettstedet brukeren er på.

Ignorer underdomener: Alle de fire passordadministratorene håndterer underdomener som er likt root-domene. Dette betyr at innloggingsinformasjon fylles ut på rotdomenet, men også på alle underdomener med samme domenenavn.

Innloggingsside : Alle passordbehandlere som er undersøkt i studien, begrenser ikke aktivitetene sine til en innloggingsside som tidligere ble brukt av brukeren. Hvis en innlogging er lagret for et domenenavn, håndteres alle påloggingsformer på det domenenavnet som det uavhengig av om de har blitt brukt før eller ikke.

Denne fremgangsmåten, noen som håndteres på denne måten for enkelhets skyld, kan sette brukere i fare, da angripere kan bruke disse problemene for å stjele passordinformasjon.

Forskerne foreslår at brukerne ikke benytter seg av automatisk utfylling og automatisk påloggingsfunksjonalitet som noen passordbehandlere tilbyr. Alle selskaper har blitt informert om resultatene.