Esaminando la sicurezza dei gestori di password
Uno studio rivela vulnerabilità nei popolari software di gestione delle password.
― 8 leggere min
Indice
- Lo Stato delle Password Oggi
- Sicurezza dei Gestori di Password
- Percezione della Sicurezza da Parte degli Utenti
- Contributi del Lavoro
- Modello di Minaccia
- Metodologia e Risultati
- Risultati dai Gestori di Password Desktop
- Risultati dai Plugin per Browser
- Osservazioni sulle Fughe di Password
- Divulgazione Responsabile
- Red Teaming e Sfruttamenti
- Migliori Pratiche per i Gestori di Password
- Lavori Correlati
- Conclusione
- Fonte originale
- Link di riferimento
Gestire le password è sempre stata un'impresa dura per le persone. Per aiutare in questo, è stato creato un software per la gestione delle password. Questo software è disponibile in diverse forme da oltre 25 anni, tra cui programmi desktop ed estensioni per browser. Questo articolo esplora quanto bene diversi Gestori di password proteggano le nostre Credenziali. Abbiamo testato 24 gestori di password, inclusi 12 applicazioni desktop e 12 plugin per browser, per vedere se memorizzano informazioni sensibili in modo sicuro in diverse situazioni. Ci concentriamo su cosa succede quando un gestore di password è attivo nella memoria del computer (RAM). Sorprendentemente, solo pochi programmi riescono a mantenere le password al sicuro da un accesso facile. Mentre alcune aziende hanno riconosciuto le falle di sicurezza, molte altre hanno minimizzato il problema.
Lo Stato delle Password Oggi
Anche dopo molti anni di utilizzo, le password sono ancora una parte significativa della sicurezza online. Ci sono stati numerosi data breach dovuti a password deboli, come gli incidenti di SolarWinds e Colonial Pipeline. Le password possono avere molte forme, incluse le PIN e le frasi. La sfida è ricordare password forti senza renderle facili da indovinare. Una soluzione popolare è utilizzare gestori di password. Tuttavia, anche quando le persone usano questi gestori, quanto siano facili da usare può influire sulla loro sicurezza.
La domanda centrale è sulla sicurezza delle nostre password in queste applicazioni dopo tutto questo tempo.
Sicurezza dei Gestori di Password
I gestori di password sono applicazioni software progettate per aiutare gli utenti a gestire le proprie password in modo sicuro. Usano vari metodi e migliori pratiche per uno sviluppo sicuro. Tuttavia, nessuna applicazione può garantire una sicurezza completa, anche con gli strumenti giusti. Un aspetto cruciale della creazione di software sicuro è il modo in cui vengono gestiti i rischi. Le aziende spesso decidono quali problemi di sicurezza affrontare, a volte ignorando questioni che pensano siano meno importanti. Nel nostro studio, la maggior parte dei fornitori di gestori di password che abbiamo contattato era a conoscenza delle vulnerabilità, ma ha preso poco o nessun provvedimento per risolverle.
Percezione della Sicurezza da Parte degli Utenti
La ricerca mostra che le persone che usano gestori di password standalone potrebbero concentrarsi di più sulla sicurezza, mentre quelle che usano gestori integrati danno priorità alla comodità. Molti utenti di gestori di password li scelgono principalmente per la facilità d'uso piuttosto che per la sicurezza. Questo suggerisce che la sicurezza non è sempre la principale preoccupazione per gli utenti.
Anche se ci sono frequenti raccomandazioni per i gestori di password nella pubblicità e nelle analisi, molti ricordano ancora incidenti significativi in cui anche programmi ben noti hanno subito vulnerabilità. Un esempio è una falla critica in KeePass che ha permesso agli attaccanti di recuperare le password memorizzate. Questo documento valuta 12 gestori di password desktop e 12 gestori per browser per capire quante informazioni private potrebbero esporre. Lo studio sottolinea cosa può succedere mentre le applicazioni sono in esecuzione in memoria.
Contributi del Lavoro
Questo lavoro contribuisce alla nostra comprensione della sicurezza dei gestori di password nei seguenti modi:
- Esaminiamo quali gestori di password consentono agli attaccanti di ottenere credenziali in chiaro dalla memoria.
- Analizziamo come la fuoriuscita di informazioni possa creare schemi che aumentano il rischio di Attacchi.
- Esploriamo quanto bene i fornitori di gestori di password seguano le linee guida di sicurezza esistenti.
Dopo aver completato la nostra ricerca, abbiamo informato responsabilmente i fornitori di gestori di password delle falle che abbiamo trovato e discuteremo brevemente quell'interazione.
Modello di Minaccia
Gli attacchi di fuoriuscita di dati mettono alla prova i principi di sicurezza di base di riservatezza, integrità e disponibilità. Per i gestori di password, il rischio è aumentato poiché, se un attaccante ottiene accesso a una password principale, può bloccare l'utente dai propri account. Poiché i gestori di password memorizzano informazioni cruciali, è essenziale mantenere questi principi. Il nostro studio evidenzia che la fuoriuscita di dati rimane un rischio.
Ci siamo concentrati sui gestori di password lato client, osservando situazioni tipiche in cui un attaccante ha guadagnato accesso a una rete locale e ha stabilito una presa sul computer di un utente. L'attaccante potrebbe ingannare l'utente per fargli scaricare malware o usare vari metodi per ottenere accesso.
Una volta dentro, l'attaccante deve estrarre dati dalla memoria dell'applicazione del gestore di password. Mentre questo di solito può essere fatto facilmente con la maggior parte dei gestori di password, alcuni, come 1Password, richiedono accesso speciale a causa di impostazioni di sicurezza più elevate.
Metodologia e Risultati
Abbiamo condotto i nostri esperimenti utilizzando macchine virtuali pulite che eseguono Windows 10. Ogni applicazione è stata installata separatamente e abbiamo creato sei scenari diversi per testare quanto bene proteggessero le password degli utenti. Il primo round ha coinvolto applicazioni desktop, mentre il secondo round ha utilizzato plugin per browser popolari.
I nostri test hanno mostrato che molti gestori di password espongono le credenziali degli utenti in chiaro nella loro memoria. Solo poche applicazioni sono riuscite a mantenere le password al sicuro in tutti gli scenari testati. In alcuni casi, sono state trovate più copie della stessa password, aumentando le probabilità che un attaccante potesse trovarle.
Risultati dai Gestori di Password Desktop
Dai nostri test, la maggior parte dei gestori di password desktop ha fatto trapelare password in memoria. Nello specifico:
- Tre gestori di password non hanno esposto password in chiaro.
- Quattro gestori hanno Trapelato password in tutti tranne uno scenario.
- Molti gestori hanno esposto le password principali degli utenti, specialmente in scenari frequentemente utilizzati.
In generale, i nostri test hanno identificato 50 fuoriuscite in tutti gli scenari, il che è preoccupante per gli utenti che si affidano a questi strumenti per proteggere le loro informazioni.
Risultati dai Plugin per Browser
Per i plugin per browser, i nostri risultati erano simili:
- Solo due plugin sono riusciti a evitare completamente le fuoriuscite.
- Sei plugin hanno trapelato password in più scenari.
In tutti i test, abbiamo trovato 23 fuoriuscite dai plugin per browser, con la maggior parte che si verificava durante azioni comuni che gli utenti compiono.
Osservazioni sulle Fughe di Password
Alcuni plugin avevano condizioni specifiche che portavano a fuoriuscite, spesso richiedendo azioni dell'utente o interazioni con il browser. È stato notato che diversi plugin non cancellavano le credenziali degli utenti dalla memoria col passare del tempo, permettendo loro di rimanere accessibili più a lungo del necessario.
Divulgazione Responsabile
Dopo aver completato la nostra analisi, abbiamo comunicato con i fornitori di gestori di password interessati riguardo alle falle identificate. Due fornitori hanno riconosciuto le vulnerabilità e hanno preso provvedimenti per correggerle. Altri, tuttavia, hanno minimizzato i rischi, sostenendo che gli attacchi avrebbero richiesto un sistema compromesso e privilegi elevati. Anche se questo è parzialmente vero, i nostri risultati hanno mostrato che molti gestori di password non richiedono tali privilegi per l'estrazione dei dati.
Red Teaming e Sfruttamenti
Per aiutare la ricerca e migliorare le pratiche di sicurezza, abbiamo creato uno strumento chiamato Pandora. Questo strumento aiuta a identificare le credenziali degli utenti in chiaro all'interno dei processi di vari gestori di password. Funziona sia su applicazioni standalone che su plugin per browser.
Abbiamo anche descritto una strategia di sfruttamento generico per aiutare a capire come trovare informazioni sensibili nei dump di memoria. Questo metodo può aiutare a identificare schemi che potrebbero esporre le credenziali degli utenti.
Migliori Pratiche per i Gestori di Password
Ci sono diverse migliori pratiche che gli sviluppatori dovrebbero adottare per migliorare la sicurezza dei gestori di password:
- Usare Crittografia e Hashing: Gli sviluppatori dovrebbero utilizzare metodi di crittografia robusti per proteggere le informazioni sensibili.
- Implementare Offuscamento: Le password in memoria dovrebbero essere offuscate utilizzando schemi segreti che cambiano regolarmente.
- Limitare il Tempo di Memorizzazione: I dati sensibili dovrebbero essere memorizzati solo quando assolutamente necessario e rimossi rapidamente dopo l'uso.
- Evitare Copie Duplicate: Gli sviluppatori dovrebbero cercare di prevenire la creazione di più istanze della stessa password in memoria.
- Stabilire Predefiniti Sicuri: I gestori di password dovrebbero essere configurati con funzioni di sicurezza abilitate fin dall'inizio per proteggere gli utenti.
Lavori Correlati
Diversi studi si sono concentrati sulla sicurezza dei gestori di password, esaminando come memorizzano informazioni sensibili e dove si trovano le vulnerabilità. Sono stati esplorati vari metodi per migliorare la protezione contro la fuoriuscita di dati.
Alcuni studi hanno analizzato gestori di password specifici, scoprendo problemi relativi alla memorizzazione delle credenziali in modo non sicuro. Altre ricerche si sono concentrate su come i browser gestiscono le funzioni di completamento automatico, rivelando rischi per gli utenti.
Sebbene molti spunti siano emersi dalla ricerca passata, questo articolo mette in evidenza la postura di sicurezza locale dei gestori di password e come i dati sensibili siano memorizzati nella RAM.
Conclusione
Le password rimangono un metodo chiave per la sicurezza online, ma gestirle pone delle sfide. Anche se i gestori di password promettono aiuto, le nostre scoperte rivelano gravi vulnerabilità in molte applicazioni popolari. La maggior parte del software testato memorizzava le password in chiaro, rendendole vulnerabili agli attacchi.
È cruciale che sia gli sviluppatori che gli utenti siano consapevoli di questi rischi. Ulteriore ricerca potrebbe estendersi ad altre piattaforme e tipi di applicazioni che gestiscono informazioni sensibili. Per ora, gli utenti dovrebbero rimanere cauti nel fidarsi dei gestori di password con le proprie credenziali.
Titolo: Keep your memory dump shut: Unveiling data leaks in password managers
Estratto: Password management has long been a persistently challenging task. This led to the introduction of password management software, which has been around for at least 25 years in various forms, including desktop and browser-based applications. This work assesses the ability of two dozen password managers, 12 desktop applications, and 12 browser-plugins, to effectively protect the confidentiality of secret credentials in six representative scenarios. Our analysis focuses on the period during which a Password Manager (PM) resides in the RAM. Despite the sensitive nature of these applications, our results show that across all scenarios, only three desktop PM applications and two browser plugins do not store plaintext passwords in the system memory. Oddly enough, at the time of writing, only two vendors recognized the exploit as a vulnerability, reserving CVE-2023-23349, while the rest chose to disregard or underrate the issue.
Autori: Efstratios Chatzoglou, Vyron Kampourakis, Zisis Tsiatsikas, Georgios Karopoulos, Georgios Kambourakis
Ultimo aggiornamento: 2024-03-30 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2404.00423
Fonte PDF: https://arxiv.org/pdf/2404.00423
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.