Examinando la seguridad de los gestores de contraseñas
Un estudio revela vulnerabilidades en software de gestión de contraseñas populares.
― 9 minilectura
Tabla de contenidos
- El Estado de las Contraseñas Hoy
- Seguridad de los Gestores de Contraseñas
- Percepción de Seguridad por Parte del Usuario
- Contribuciones del Trabajo
- Modelo de Amenaza
- Metodología y Resultados
- Resultados de los Gestores de Contraseñas de Escritorio
- Resultados de los Complementos de Navegador
- Observaciones sobre las Filtraciones de Contraseñas
- Divulgación Responsable
- Red Teaming y Explotaciones
- Mejores Prácticas para Gestores de Contraseñas
- Trabajo Relacionado
- Conclusión
- Fuente original
- Enlaces de referencia
Gestionar contraseñas siempre ha sido un rollo para la gente. Para ayudar con esto, se han creado programas de gestión de contraseñas. Este software ha estado disponible en varias formas durante más de 25 años, incluyendo programas de escritorio y extensiones de navegador. Este artículo analiza qué tan bien diferentes administradores de contraseñas mantienen a salvo nuestras Credenciales. Probamos 24 administradores de contraseñas, incluyendo 12 aplicaciones de escritorio y 12 complementos de navegador, para ver si almacenan información sensible de manera segura en diferentes situaciones. Nuestro enfoque está en qué sucede cuando un administrador de contraseñas está activo en la memoria de tu computadora (RAM). Sorprendentemente, solo unos pocos programas logran mantener las contraseñas a salvo de ser fácilmente accesibles. Mientras que algunas empresas reconocieron las fallas de seguridad, muchas otras minimizaron el problema.
El Estado de las Contraseñas Hoy
Incluso tras muchos años de uso, las contraseñas siguen siendo una parte importante de la seguridad online. Ha habido numerosas filtraciones de datos debido a contraseñas débiles, como los incidentes de SolarWinds y Colonial Pipeline. Las contraseñas pueden venir en muchas formas, incluyendo PINs y frases. El desafío es recordar contraseñas fuertes sin hacerlas fáciles de adivinar. Una solución popular es usar Gestores de Contraseñas. Sin embargo, incluso cuando la gente usa estos gestores, lo fácil que son de usar puede afectar su seguridad.
La pregunta central es sobre la seguridad de nuestras contraseñas en estas aplicaciones después de todo este tiempo.
Seguridad de los Gestores de Contraseñas
Los gestores de contraseñas son aplicaciones de software diseñadas para ayudar a los usuarios a gestionar sus contraseñas de forma segura. Usan varios métodos y mejores prácticas para un desarrollo seguro. Sin embargo, ninguna aplicación puede garantizar una seguridad completa, incluso con las herramientas adecuadas. Un aspecto crucial de la creación de software seguro es cómo se gestionan los riesgos. Las empresas a menudo deciden qué problemas de seguridad abordar, ignorando a veces cuestiones que consideran menos importantes. En nuestro estudio, la mayoría de los proveedores de gestores de contraseñas con los que contactamos eran conscientes de las vulnerabilidades, pero tomaron pocas o ninguna medida para solucionarlas.
Percepción de Seguridad por Parte del Usuario
Investigaciones muestran que las personas que usan gestores de contraseñas independientes pueden centrarse más en la seguridad, mientras que quienes usan gestores integrados priorizan la conveniencia. Muchos usuarios de gestores de contraseñas los eligen principalmente por lo fáciles que son de usar en lugar de por su seguridad. Esto sugiere que la seguridad no siempre es la principal preocupación para los usuarios.
Aunque hay recomendaciones frecuentes para gestores de contraseñas en anuncios y análisis, muchos todavía recuerdan incidentes notables donde incluso programas conocidos experimentaron vulnerabilidades. Un ejemplo es una falla crítica en KeePass que permitió a los atacantes recuperar contraseñas almacenadas. Este documento evalúa 12 gestores de contraseñas de escritorio y 12 de navegador para comprender cuánto información privada podrían exponer. El estudio enfatiza lo que puede suceder mientras las aplicaciones están funcionando en la memoria.
Contribuciones del Trabajo
Este trabajo contribuye a nuestra comprensión de la seguridad de los gestores de contraseñas de las siguientes maneras:
- Observamos qué gestores de contraseñas permiten a los atacantes obtener credenciales en Texto plano de la memoria.
- Analizamos cómo la filtración de información puede crear patrones que aumenten el riesgo de Ataques.
- Exploramos qué tan bien siguen los proveedores de gestores de contraseñas las pautas de seguridad existentes.
Después de completar nuestra investigación, informamos de manera responsable a los proveedores de gestores de contraseñas sobre las fallas que encontramos y discutiremos brevemente esa interacción.
Modelo de Amenaza
Los ataques de filtración de datos desafían los principios básicos de seguridad de confidencialidad, integridad y disponibilidad. Para los gestores de contraseñas, el riesgo se intensifica, ya que, si un atacante obtiene acceso a una contraseña maestra, puede bloquear al usuario de sus cuentas. Dado que los gestores de contraseñas almacenan información crucial, es esencial mantener estos principios. Nuestro estudio destaca que la filtración de datos sigue siendo un riesgo.
Nos centramos en gestores de contraseñas del lado del cliente, observando situaciones típicas donde un atacante ha ganado acceso a una red local y ha establecido un pie en la máquina de un usuario. El atacante podría engañar al usuario para que descargue malware o usar varios métodos para obtener acceso.
Una vez dentro, el atacante necesita extraer datos de la memoria de la aplicación de gestor de contraseñas. Si bien esto generalmente se puede hacer fácilmente con la mayoría de los gestores de contraseñas, algunos, como 1Password, requieren acceso especial debido a configuraciones de seguridad más altas.
Metodología y Resultados
Hicimos nuestros experimentos usando máquinas virtuales limpias que corrían Windows 10. Cada aplicación se instaló por separado, y creamos seis escenarios diferentes para probar qué tan bien protegían las contraseñas de los usuarios. La primera ronda involucró aplicaciones de escritorio, mientras que la segunda usó populares complementos de navegador.
Nuestras pruebas mostraron que muchos gestores de contraseñas exponen las credenciales de los usuarios en texto plano en su memoria. Solo unas pocas aplicaciones lograron mantener las contraseñas a salvo en todos los escenarios probados. En algunos casos, se encontraron múltiples copias de la misma contraseña, aumentando las posibilidades de que un atacante pudiera encontrarlas.
Resultados de los Gestores de Contraseñas de Escritorio
De nuestras pruebas, la mayoría de los gestores de contraseñas de escritorio filtraron contraseñas en memoria. Específicamente:
- Tres gestores de contraseñas no expusieron ninguna contraseña en texto plano.
- Cuatro gestores filtraron contraseñas en todos menos en un escenario.
- Muchos gestores expusieron las contraseñas maestras de los usuarios, especialmente en escenarios de uso frecuente.
En total, nuestras pruebas identificaron 50 filtraciones a través de todos los escenarios, lo que es preocupante para los usuarios que dependen de estas herramientas para proteger su información.
Resultados de los Complementos de Navegador
Para los complementos de navegador, nuestros resultados fueron similares:
- Solo dos complementos lograron evitar filtraciones por completo.
- Seis complementos filtraron contraseñas en múltiples escenarios.
A través de todas las pruebas, encontramos 23 filtraciones de complementos de navegador, siendo la mayoría durante acciones comunes que los usuarios realizan.
Observaciones sobre las Filtraciones de Contraseñas
Algunos complementos tuvieron condiciones específicas que llevaron a filtraciones, a menudo requiriendo acciones del usuario o interacción con el navegador. Se notó que varios complementos no borraron las credenciales del usuario de la memoria con el tiempo, permitiendo que permanecieran accesibles más tiempo del necesario.
Divulgación Responsable
Después de completar nuestro análisis, nos comunicamos con los proveedores de gestores de contraseñas afectados sobre las fallas identificadas. Dos proveedores reconocieron las vulnerabilidades y tomaron medidas para corregirlas. Otros, sin embargo, minimizaron los riesgos, argumentando que los ataques requerirían un sistema comprometido y privilegios elevados. Si bien esto es parcialmente cierto, nuestros resultados mostraron que muchos gestores de contraseñas no requieren tales privilegios para la extracción de datos.
Red Teaming y Explotaciones
Para ayudar a la investigación y mejorar las prácticas de seguridad, creamos una herramienta llamada Pandora. Esta herramienta ayuda a identificar las credenciales de usuario en texto plano dentro de los procesos de varios gestores de contraseñas. Funciona tanto en aplicaciones independientes como en complementos de navegador.
También describimos una estrategia de explotación genérica para ayudar a entender cómo encontrar información sensible en volcados de memoria. Este método puede ayudar a identificar patrones que podrían exponer las credenciales de los usuarios.
Mejores Prácticas para Gestores de Contraseñas
Hay varias mejores prácticas que los desarrolladores deberían adoptar para mejorar la seguridad de los gestores de contraseñas:
- Usar Cifrado y Hashing: Los desarrolladores deberían emplear métodos de cifrado fuertes para proteger la información sensible.
- Implementar Ofuscación: Las contraseñas en memoria deberían estar ofuscadas usando patrones secretos que cambian regularmente.
- Limitar el Tiempo de Almacenamiento: La información sensible debería almacenarse solo cuando sea absolutamente necesario y eliminarse rápidamente después de su uso.
- Evitar Copias Duplicadas: Los desarrolladores deberían intentar prevenir la creación de múltiples instancias de la misma contraseña en memoria.
- Establecer Configuraciones Seguras por Defecto: Los gestores de contraseñas deberían configurarse con funciones de seguridad habilitadas desde el principio para proteger a los usuarios.
Trabajo Relacionado
Varios estudios se han centrado en la seguridad de los gestores de contraseñas, examinando cómo almacenan información sensible y dónde están las vulnerabilidades. Se han explorado varios métodos para mejorar la protección contra filtraciones de datos.
Algunos estudios analizaron gestores de contraseñas específicos, descubriendo problemas relacionados con el almacenamiento de credenciales de manera insegura. Otras investigaciones se centraron en cómo los navegadores manejan las funciones de autocompletado, revelando riesgos para los usuarios.
Si bien han surgido muchos conocimientos de investigaciones pasadas, este artículo enfatiza la postura de seguridad local de los gestores de contraseñas y cómo se almacena la información sensible en la RAM.
Conclusión
Las contraseñas siguen siendo un método clave para la seguridad online, pero gestionarlas presenta desafíos. Si bien los gestores de contraseñas prometen ayudar, nuestros hallazgos revelan vulnerabilidades serias en muchas aplicaciones populares. La mayoría del software probado almacenaba contraseñas en texto plano, haciéndolas vulnerables a ataques.
Es crucial que tanto desarrolladores como usuarios estén al tanto de estos riesgos. La investigación futura podría extenderse a otras plataformas y tipos de aplicaciones que manejan información sensible. Por ahora, los usuarios deberían ser cautelosos al confiar en gestores de contraseñas con sus credenciales.
Título: Keep your memory dump shut: Unveiling data leaks in password managers
Resumen: Password management has long been a persistently challenging task. This led to the introduction of password management software, which has been around for at least 25 years in various forms, including desktop and browser-based applications. This work assesses the ability of two dozen password managers, 12 desktop applications, and 12 browser-plugins, to effectively protect the confidentiality of secret credentials in six representative scenarios. Our analysis focuses on the period during which a Password Manager (PM) resides in the RAM. Despite the sensitive nature of these applications, our results show that across all scenarios, only three desktop PM applications and two browser plugins do not store plaintext passwords in the system memory. Oddly enough, at the time of writing, only two vendors recognized the exploit as a vulnerability, reserving CVE-2023-23349, while the rest chose to disregard or underrate the issue.
Autores: Efstratios Chatzoglou, Vyron Kampourakis, Zisis Tsiatsikas, Georgios Karopoulos, Georgios Kambourakis
Última actualización: 2024-03-30 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2404.00423
Fuente PDF: https://arxiv.org/pdf/2404.00423
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.