Менеджеры паролей являются неотъемлемой частью жизни опытных пользователей компьютеров. Поскольку у них есть множество учётных записей на разных сайтах и сервисах, им нужны разные логины и пароли для них, причём сложные. Запомнить их на память не получится, записывать на листок бумаги не слишком модно, поэтому задействуются менеджеры паролей. К сожалению, в четырёх популярных менеджерах для системы Windows 10 была найдена уязвимость.

Организация Independent Security Evaluators (ISE) провела аудит безопасности менеджеров 1Password, Dashlane, KeePass и LastPass в системе Windows 10. Результаты оказались не самые хорошие. Все они хранят главный пароль на доступ к программе в виде простого текста в оперативной памяти. Хакер с доступом к компьютеру может легко прочитать этот пароль и получить логины и пароли от всех ваших учётных записей.

Исследователи установили, что главный пароль остаётся в памяти до тех пор, пока менеджер паролей находится в заблокированном состоянии. Это означает, что был запущен, разблокирован, а затем автоматически заблокирован ради безопасности.

При помощи подходящего инструмента обратной инженерии специалисты смогли проверить, насколько надёжно менеджеры хранят свои секреты в заблокированном состоянии. Тогда и было обнаружено, что из памяти можно извлечь главный пароль. Для этого нужен физический или удалённый доступ к компьютеру.

Несмотря на это, специалисты ISE рекомендуют продолжать пользоваться менеджером паролей, поскольку альтернатива в виде слабых паролей представляет ещё большую опасность. Пользователям рекомендуется после работы с менеджерами паролей закрывать их полностью.