Förra veckan rapporterade bland annat Washington Post om hur skadeprogram kan kapa lösenord från lösenordshanterare. Denna upptäckt gjordes av amerikanska Independent Security Evaluators (ISE) som har granskat de marknadsledande lösenordshanterarnas Windows-klienter. Utöver Nikka Systems rekommenderade lösenordshanterare, Lastpass, var även lösenordshanterarna Keepass, 1password och Dashlane med i granskningen.
Som vi nämnde i förra poddavsnittet har vi gått igenom hela rapporten från ISE. Problemet som ISE har hittat är att lösenordshanterarna inte skrubbar (raderar) använda minnesplatser, vilket leder till att lösenord ligger kvar i datorns minne. ISE visar hur de med hjälp av ett, för ändamålet utvecklat, skadeprogram kan läsa ut lösenord som lösenordshanterarna har lagt i minnet – detta trots att lösenordshanterarna i sig är låsta.
Fortsätt använda lösenordshanterare
ISE poängterar själva att resultatet av deras granskning inte ska tolkas som en avrådan från användning av lösenordshanterare. Deras rekommendation är tvärtom den motsatta. I inledningen till sin rapport skriver de följande.
First and foremost, password managers are a good thing. All password managers we have examined add value to the security posture of secrets management, and as Troy Hunt, an active security researcher once wrote, “Password managers don’t have to be perfect, they just have to be better than not having one”.
Independent Security Evaluators (februari 2019)
Detta visar att ISE har en nykter och insiktsfull inställning till lösenordshanterare. De förstår att lösenordshanterare är det bästa redskapet vi har så länge vi fortfarande förlitar oss på lösenord för autentisering. Samma inställning delas av Washington Posts Geoffrey A. Fowler, då han i sin artikel skriver följande.
I still think you should use a password manager. So do the ethical hackers with Independent Security Evaluators who came to me with news of the flaws — and other security pros I spoke to about the study, published Tuesday. You wouldn’t stop using a seat belt because it couldn’t protect you from every kind of vehicle accident. The same applies to password managers.
Geoffrey A. Fowler, Washington Post (februari 2019)
Schackmatt med infekterad dator
ISE:s granskning är välkommen. Säkerhetkritiska mjukvaror som lösenordshanterare mår bra av att granskas. Den enda negativa konsekvensen en sådan granskning kan få är om någon drar förhastade slutsatser från enbart rubriken. Washington Post var därför extra ansvarsfulla när de satte rubriken ”Password managers have a security flaw. But you should still use one” på sin artikel.
De rapporterade bristerna är nämligen inte allvarliga i sig. För att bristerna ska kunna få farliga konsekvenser måste datorn vara infekterad med ett skadeprogram som är skrivet för att attackera just dessa lösenordshanterare. Sannolikheten för att vi får se sådana skadeprogram ökar i takt med att fler börja använda lösenordshanterare. Attackmetoden som ISE beskriver är dock extra omständlig och därför relativt osannolik. Om ett skadeprogram har fått fäste i datorn skulle det lika gärna kunna spara alla lösenord som anges eller rent av spara alla inmatningar som görs. Denna attackmetod demonstrerade Jonas Lejon, en av Sverige främsta IT-säkerhetsexperter, redan för många år sedan. Ett arkiverat videoklipp av detta finns på Jonas Linkedin-sida.
En lösenordshanterare är inte någon mirakelkur som löser världens alla säkerhetsproblem. Om lösenordshanteraren körs på en infekterad dator äventyras dess innehåll. Per definition kan ingenting som körs på en infekterad dator vara säkert. Det är därför viktigt att kombinera användningen av en lösenordshanterare med god allmän IT-säkerhet. Läs mer om detta i Bli säker-boken.
Bonustweet från Swift on Security
@SwiftOnSecurity 2019-02-23
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.