Для обеспечения эффективной защиты пароли должны быть особенно сложными. Современные менеджеры паролей призваны помогать генерировать безопасные комбинации и централизованно управлять ими. Однако, как сообщает The Register, многие решения не очень безопасны. Исследователи выявили несколько уязвимостей, которые могут быть использованы для взлома даже проверенных менеджеров.
Исследовательская группа изучила три популярных менеджера паролей. Они не имитировали классические удаленные атаки на отдельных пользователей, а проверяли, насколько хорошо системы защищают пароли при компрометации их серверов. Для тестирования исследователи настроили серверы, которые вели себя как модифицированные версии оригинальных серверов. Во многих успешных сценариях им удалось получить зашифрованные пароли и, в некоторых случаях, даже изменить записи. Семь из двенадцати успешных атак на Bitwarden привели к раскрытию паролей. Это произошло в случае трех атак на LastPass и одной на Dashlane.
Все три провайдера рекламируют шифрование с нулевым разглашением. Однако исследование показывает, что ни один из сервисов четко не определяет, от какой конкретной модели угроз должно защищать соответствующее решение.
Одной из возможных причин этого является широко распространенное мнение о том, что менеджеры паролей — это технически простые приложения. В действительности их кодовые базы гораздо сложнее. Многие поставщики избегают фундаментальной переработки кода из-за опасения безвозвратной потери существующих пользовательских данных. Поэтому некоторые компании продолжают поддерживать старые форматы. Это увеличивает сложность программного обеспечения и может создавать дополнительные риски безопасности.