Internacional. A pesar de que los expertos en seguridad se abstengan de usar administradores de contraseñas, un nuevo informe de Independent Security Evaluators (ISE) ha encontrado que varias de las aplicaciones más populares tienen fallas fundamentales que exponen los datos que los hacen más seguros que guardar contraseñas en una red. archivo de texto plano.
El nuevo informe titulado "Bajo el capó de la gestión de los secretos", reveló serias debilidades con los principales administradores de contraseñas: 1Password, Dashlane, KeePass y LastPass. Los investigadores de ISE dijeron que examinaron la funcionalidad subyacente de estos productos en Windows 10 para comprender cómo se almacenan los secretos de los usuarios incluso cuando el administrador de contraseñas está bloqueado. El informe indica que más de 60 millones de individuos, 93,000 empresas en todo el mundo confían en los administradores de contraseñas.
"El cien por ciento de los productos que ISE analizó no brindó la seguridad para salvaguardar las contraseñas de los usuarios tal como se anuncia", dijo Stephen Bono, CEO. "Aunque los administradores de contraseñas proporcionan alguna utilidad para almacenar el inicio de sesión / contraseñas y limitan la reutilización de contraseñas, estas aplicaciones son un objetivo vulnerable para la recopilación masiva de estos datos a través de campañas de pirateo malicioso".
Uno de los principales hallazgos del informe fue que, en ciertos casos, la contraseña maestra residía en la memoria de la computadora en un formato legible de texto simple: un método, que el informe afirma, no es más seguro que almacenarlo en un documento o en el escritorio como en lo que se refiere a un adversario. Los usuarios creen que la información es segura cuando el administrador de contraseñas está bloqueado, argumentan los investigadores. Sin embargo, una vez que la contraseña maestra está disponible para el atacante, pueden descifrar la base de datos del administrador de contraseñas, los secretos almacenados, los nombres de usuario y las contraseñas. ISE demostró que es posible extraer contraseñas maestras y otras credenciales de inicio de sesión de la memoria mientras el administrador de contraseñas estaba bloqueado.
Al utilizar una herramienta patentada de ingeniería inversa, los analistas de ISE dijeron que podían evaluar rápidamente el manejo de los secretos de los administradores de contraseñas en su estado bloqueado. ISE descubrió que la memoria forense estándar se puede usar para extraer la contraseña maestra y los secretos que se supone que guarda.
"Dada la enorme base de usuarios de personas que ya usan administradores de contraseñas, estas vulnerabilidades incitarán a los piratas informáticos a identificar y robar datos de estas computadoras mediante ataques de malware", dijo Adrian Bednarek, investigador principal de ISE. "Una vez que tienen tu contraseña maestra, se acabó el juego".
"La gente cree que usar los administradores de contraseñas hace que sus datos sean más seguros y más seguros en su computadora", dijo Ted Harrington, socio ejecutivo de ISE. "Nuestra investigación proporciona un servicio público a los proveedores de estos productos ampliamente adoptados que ahora deben mitigar los ataques basados en los problemas de seguridad descubiertos, así como alertar a los consumidores que tienen una falsa sensación de seguridad sobre su efectividad".
El informe recomienda que para mantener los secretos más seguros hasta que los proveedores solucionen los problemas, los usuarios del administrador de contraseñas no deben dejar el administrador de contraseñas en ejecución en segundo plano, incluso en estado bloqueado, y finalizar el proceso por completo si están utilizando uno de los administradores de contraseñas afectados. .
El informe, dijo ISE, es parte de su iniciativa de investigación en curso para proteger a los consumidores y las empresas e informar a los fabricantes sobre las vulnerabilidades que podrían exponer a sus clientes a riesgos. Todas las vulnerabilidades y los hallazgos de investigación relevantes se han divulgado de manera responsable a los fabricantes, dijo la compañía.
Fuente: TechCentral.
