Independent Security Evaluators ha hecho público una investigación en la que han analizado el comportamiento de varios gestores de contraseñas populares encontrando vulnerabilidades preocupantes. Problemas que permitirían el robo de las contraseñas almacenadas o incluso de la clave maestra mediante una aplicación maliciosa instalada en el equipo.
Este grupo de expertos en seguridad informática han examinado, concretamente, el funcionamiento en Windows 10 de los administradores de contraseñas 1Password, KeePass, LastPass y Dashline. Y el problema del que todos ellos adolecen es la gestión de la memoria del dispositivo en el que funcionan.
En diversos grados, según los investigadores del ISE, los gestores de contraseñas analizados dejaron contraseñas accesibles desde la memoria de las máquinas. Hablamos, como decíamos, tanto de contraseñas almacenadas en las aplicaciones en cuestión como de la contraseña maestra. Potencialmente, con cierto malware y derechos de administrador, un atacante podría obtener esas contraseñas.
La memoria tiene demasiado memoria
Todo esto sucedería aunque los programas intentan borrar esta información depositada en la memoria. Sin embargo, dicen estos expertos, "los búferes residuales seguían conteniendo secretos, muy probablemente debido a fugas de memoria, referencias de memoria perdidas o marcos de trabajo GUI complejos que no exponen los mecanismos internos de gestión de la memoria para desinfectar los secretos"
Esta exposición de información tan sensible tendría lugar, según la investigación, cuando el usuario ejecuta el administrador de contraseñas y lo abre introduciendo su clave maestra. Lo que significa que no habría riesgo cuando los gestores no están ejecutándose. Sin el programa en marcha, las contraseñas guardadas en el disco estarían a buen recaudo.
Es preocupante esta situación, pero no debe generar alarma porque los gestores de contraseñas son una más que interesante solución de seguridad, como los propios investigadores responsables de este estudio señalan.
Los administradores de contraseñas son algo bueno. Todos los administradores de contraseñas que hemos examinado añaden valor a la postura de seguridad de la gestión de secretos, y como escribió Troy Hunt, un activo investigador de seguridad, "los administradores de contraseñas no tienen que ser perfectos, sólo tienen que ser mejores que no tener uno".
Además de ser una herramienta administrativa que permite a los usuarios categorizar y administrar mejor sus credenciales, los administradores de contraseñas guían a los usuarios para evitar prácticas de contraseñas incorrectas como el uso de contraseñas débiles, contraseñas comunes, contraseñas genéricas y reutilización de contraseñas.
Los responsables de los gestores de contraseñas parece que han tomado nota de estos problemas y alguno como LastPass, según informa The Register, ya han solucionado los problemas de exposición de datos relacionados con la memoria descritos en su aplicación.
Ver 1 comentarios