Эксперты по безопасности постоянно советуют людям использовать менеджеры паролей. Но, оказывается, сами эти менеджеры могут быть весьма небезопасными. Исследователи компании Independent Security Evaluators (ISE) обнаружили, что популярные решения содержат опасную уязвимость, которая может скомпрометировать абсолютно все пароли, сохраненные в менеджере.
Что конкретно произошло?
Команда ISE проанализировала приложения 1Password, Dashlane, KeePass и LastPass для Windows 10 и обнаружила, что самый главный мастер-пароль, открывающий доступ ко всем остальным, может сохраняться в оперативной памяти компьютера в формате обычного текста. Причем это происходит не только во время непосредственной работы с менеджером, но и тогда, когда тот находится в заблокированном виде в фоновом режиме.
Любой специалист, который сможет получить доступ к оперативной памяти ПК во время работы менеджера, сможет извлечь оттуда мастер-пароль. А дальше ему останется лишь воспользоваться этим главным ключом и слить всю базу ваших паролей подчистую.
Конечно, чтобы провернуть эту операцию, хакеру нужен доступ к оперативной памяти. Но это не обязательно должен быть физический доступ. Прочитать содержимое ОЗУ можно и удаленно, например, воспользовавшись соответствующим “троянским конем”.
Что теперь делать?
Ка кни странно, эксперты ISE не рекомендуют отказываться от использования менеджеров паролей. Как показывает практика, человек, который использует одинаковые или слишком простые пароли, находится в несоизмеримо большей опасности, чем тот, кто использует менеджер. Даже если этот менеджер уязвим.
Кроме того, теперь, когда о дыре стало известно, разработчики менеджеров постараются как можно быстрее выпустить обновления, которые исправят ситуацию. Потому - следите за обновлениями.
А до тех пор, пока уязвимость не устранена - просто выключайте менеджер, когда им не пользуетесь. Как уже говорилось выше, мастер-пароль от менеджера хранится в оперативной памяти ПК. Это происходит потому, что для удобства использования менеджеры рассчитаны на постоянную работу в фоновом режиме. Но если вы полностью закроете программу, данные из оперативной памятиу удалятся. А значит, правильная стратегия выглядит так: запустили менеджер паролей, воспользовались им, тут же его закрыли. Шанс на то, что кто-то украдет ваш мастер-пароль во время столь краткого использования, слишком мал, чтобы брать его во внимание.