Поделиться
Крупнейшие менеджеры паролей выдают их с головой, несмотря на шифрование с нулевым разглашением
Академическое исследование показало, что даже шифрование с нулевым разглашением - не панацея для целеустремлённых хакеров.
Неразглашаемые тайны
Масштабное исследование, проведённое специалистами Федерального технологического института Цюриха (ETH Zurich) и Итальянского университета Швейцарии (Università della Svizzera italiana), показало, что ряд крупнейших облачных менеджеров паролей при определённых условиях могут выдавать пароли в результате направленных на них атак.
Более того, иногда у злоумышленников появляется возможность изменять хранящиеся в них пароли.
Большинство вендоров облачных менеджеров обещают «шифрование с нулевым разглашением» (Zero-Knowledge Encryption). Упрощённо это означает, что пароли хранятся в заведомо зашифрованном виде, шифрование осуществляется на устройстве пользователя и доступа к ключам у вендора нет. Этот криптографический метод позволяет проверять подлинность и целостность данных без раскрытия самой информации.
«Обещание состоит в том, что даже если кто-то сможет получить доступ к серверу, это не представляет угрозы безопасности для клиентов, поскольку данные зашифрованы и, следовательно, нечитаемы. Теперь мы показали, что это не так», - пишут исследователи.
Их работа была направлена на оценку эффективности трёх популярных облачных менеджеров паролей - Bitwarden, Dashlane и LastPass. Их доля на рынке составляет 23%, а общее количество пользователей достигает 60 млн.
Эксперты выявили 12 способов извлекать пароли из Bitwarden, семь из LastPass и шесть из Dashlane.
Все эти атаки можно разделить на четыре широкие категории.
Первый - это атаки, использующие механизм «депонирование ключей» для компрометации гарантий конфиденциальности Bitwarden и LastPass, возникающие из-за уязвимостей в их системах депонирования ключей.
Второй - это атаки, использующие недостатки шифрования на уровне элементов, то есть шифрование определённых данных и конфиденциальных пользовательских настроек как отдельных объектов, часто в сочетании с незашифрованными или неаутентифицированными метаданными. Это приводит к нарушению целостности информации, утечке метаданных, подмене полей и понижению уровня функции формирования ключей (KDF).
Третий метод - атаки, использующие функции совместного доступа для компрометации целостности и конфиденциальности хранилища.
Наконец, четвёртый - это атаки, использующие обратную совместимость с устаревшим кодом, которые открывают возможность для атак на понижение уровня безопасности в Bitwarden и Dashlane.
Исследование также показало, что 1Password, еще один популярный менеджер паролей, уязвим как для атак на шифрование хранилища, так и для атак с использованием функций совместного доступа.
Однако 1Password решил рассматривать их как следствие уже известных архитектурных ограничений: в компании журналистам The Hacker News заявили, что с исследованием ознакомились со всей прилежностью, и что в ней нет новых векторов атак по сравнению с их собственным основополагающим документом (https://agilebits.github.io/security-design/), но пообещали продолжить укреплять собственную архитектуру.
Одним слоем не обойтись
Bitwarden, Dashlane и LastPass уже приняли или готовятся принять меры по смягчению или устранению рисков, перечисленных в исследовании: LastPass планирует укрепить механизмы сброса административных паролей и выдачи общего доступа к различным процессам. Dashlane в ноябре прошлого года прекратил поддержку устаревших методов криптографии, так что атаки на понижение больше не должны работать.
Bitwarden признал наличие семи уязвимостей, обозначив ещё три как функциональные решения, необходимые для исправной работы продукта.
«Менеджеры паролей по определению рассматриваются как слой защиты, скомпрометировать который должно быть очень сложно или невозможно вовсе, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - На практике непробиваемой защиты не существует, и нынешнее исследование доказывает, что целиком полагаться на менеджеры паролей - недальновидно. Обеспечить неприкосновенность своих данных можно только с помощью «эшелонированной обороны», где компрометация одного элемента не будет означать обрушение всей защитной структуры. Столкнувшись с подобным, условные хакеры, скорее всего, попробуют найти цель попроще».
Короткая ссылка
