Twoje hasła są zagrożone. Popularne menadżery haseł mają dziurę
Popularne menadżery haseł nie są tak bezpieczne, jak mogłoby się wydawać. Niemal wszystkie są podatne na atak, w wyniku którego możliwe jest przejęcie wszystkich haseł oraz danych zapisanych kart.
Wiele osób korzysta z menadżerów haseł jako prosty, a zarazem bezpieczny sposób na przechowywanie wszystkich danych logowania oraz danych kart płatniczych. Jednak okazuje się, że to wcale nie jest tak bezpieczne, jak mogłoby się wydawać.
Atak na menadżery haseł
W trakcie konferencji DEF CON 33 niezależny badacz Marek Tóth zaprezentował lukę w zabezpieczeniach najpopularniejszych na rynku menadżerów haseł. Pozwala ona na przejęcie wszystkich zapisanych haseł, a nawet danych kart płatniczych.
Na czym polega atak? Główna mechanika polega na uruchomieniu skryptu na złośliwej lub zhakowanej stronie internetowej. Ten wykorzystuje ustawienia nieprzezroczystości, nakładki lub inne sztuczki, aby ukryć swoje działania.
Dzięki temu jest w stanie, na elementach strony internetowej (np. banerach, wyskakujących okienkach czy CAPTCHA) wyświetlać własne, ukryte elementy, które są automatycznie uzupełniane danymi logowania. Użytkownik nawet nie jest świadomy, że w ten sposób przekazuje swoje dane oszustom.
Marek Tóth przetestował 11 najpopularniejszych menadżerów haseł i wykrył, że wszystkie one są podatne na jakiś rodzaj ataku. Ich twórcy zostali o tym poinformowaniu w kwietniu tego roku. Większość z nich zapewniła, że pracują nad załataniem tej luki, aby dane użytkowników były bezpieczne.
Co ważne, NordPass, ProtonPass, RoboForm, Dashlane oraz Keeper już wprowadziły odpowiednie zabezpieczenia.
W związku z tym aktualnie podatne na atak są:
- 1Password
- Bitwarden
- Enpass
- iCloud Passwords
- LastPass
- LogMeOnce
