Sårbarheter funnet i flere passordhåndterere

Det er vanskelig å ha unike passord til hver tjeneste, så flere anbefaler at man bruker en passordhåndterer, dette er ikke uten risiko.

En passordhåndterer er et program som lagrer passordene dine. En enkel versjon av dette er når nettleseren tilbyr å huske passordet ditt. I andre tilfeller brukes dedikerte programmer som krypterer alle passordene med et hovedpassord (ofte kalt master-passord). Disse programmene har ofte mye annen funksjonalitet i tillegg til kryptering og lagring av passord, noen eksempler er: generere sterke unike passord og synkronisere mellom enheter.

Dette har selvfølgelig flere fordeler, du kan bruke sterke, unike passord på forskjellige tjenester. Hvis det da skjer et datainnbrudd hos en side du bruker, så trenger du ikke å bekymre deg for at de får tilgang til dine andre kontoer. Noen nettsider lagrer, desverre, passordene i klartekst. Da hjelper det ikke at du har et sterkt passord, det eneste som hjelper er unike passord, da er dine andre kontoer er beskyttet. Dette er nesten umulig å oppnå uten å bruke en passordhåndterer.

Det har også sine ulemper: all sikkerhet er plassert på ett sted. Da er det veldig viktig at det stedet er godt sikret. Forskere ved University of California, Berkeley har testet hvor godt noen av disse applikasjonene sikrer dine passord.

Testen har blitt gjort på fem populære passordhåndterere: LastPass, RoboForm, My1Login, PasswordBox og NeedMyPassword. Alle hadde minst én kritisk feil. I hver av disse ble den nettbaserte versjonen testet. Det betyr at de kjører i nettleseren og ikke som et eget lokalt program. Fordelen med det er at man kan gjøre det mye enklere for brukeren ved at man automatisk taster inn brukernavn og passord.

Sårbarhetene ble klassifisert inn i 4 kategorier:

  • Bokmerker med JavaScript (bookmarklet) – Ofte brukt på mobile enheter som ikke støtter utvidelser i nettleseren.
  • “Klassiske” svakheter – Vanlige svakheter som man ofte finner i applikasjoner på nettet.
  • Autoriseringssvakheter – Svakheter som finnes i delen som tilbyr å dele passord med andre.
  • Brukergrensesnittet – En angriper kan misbruke brukergrensesnittet for å lure brukeren til å gi fra seg passordet.

Forskerne fant svakheter innenfor alle kategoriene og i 4 av de 5 programmene de testet kunne de finne ut passord til vilkårlige nettsider.

Angrepene er basert på en angriper som kan få offeret til å besøke en nettside. Dette er et ganske realistisk scenario. I tillegg kan offeret lage en konto på angriperens nettside og bruke programmet for passordhåndtering til å lagre passordet.

Alle tre passordene som støttet bookmarklets, hadde kritiske svakheter i denne funksjonen. Det er tydelig at dette er funksjonalitet som det er vanskelig å gjøre sikkert.

Tre av applikasjonene hadde svakheter som blir klassifisert som “klassiske” svakheter. For de som er over gjennomsnittet teknisk interessert, så var svakhetene Cross-Site Request Forgery (CSRF) og Cross-Site Scripting (XSS).

2 av de 3 programmene som støttet deling av passord hadde en logisk svakhet som gjorde at en angriper kunne få tak i offerets passord. Dette angrepet fungerte uten at offeret var involvert, så det er en veldig alvorlig svakhet.

2 av programmene var også sårbare mot phishing-angrep. Her ble sikkerhet ofret for lettvinthet og det endte i en situasjon der en angriper kunne utføre et phishing-angrep som var veldig vanskelig å oppdage.

Hvis du bruker LastPass kan du lese deres kommentar til artikkelen hos lastpass.com. Kommentar fra My1Login finner du hos my1login.com. Det ble ikke funnet noen kommentar fra de andre programmene.

NorSIS anbefaler

Det er omtrent umulig for sluttbrukere å evaluere sikkerhetsprogramvare. Det er lett for utviklere å gjøre feil som leder til sikkerhetsproblemer, når så mye sikkerhet er plassert i ett sted kan dette skape store problemer for brukeren. Disse programmene får ofte mer og mer funksjonalitet slik at det tar mindre og mindre tid å logge inn. Denne ekstra funksjonaliteten har en pris og det er at det blir mer sannsynlig at programmene inneholder svakheter.

Hvis du skal bruke slike programmer bør du evaluere risikoen du tar ved å plassere så mye sikkerhet i ett sted. I flere av angrepene som ble beskrevet i artikkelen kunne en ondsinnet angriper få tak i alle passordene.

Les veiledning om passord.

Les mer

Les hele artikkelen: The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers. (PDF)

Publisert: 15. juli 2014

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.