I Password Manager perdono dati in memoria? Bisogna comunque continuare a usarli

Scoperta una sorprendente vulnerabilità nella sicurezza dei password manager

I ricercatori hanno scoperto una sorprendente debolezza nella sicurezza dei password manager: diversi prodotti molto conosciuti sembrano presentare una vulnerabilità nella cancellazione delle password dalla memoria quando non vengono più utilizzate.

Un’analisi condotta da Independent Security Evaluators (ISE) ha scoperto il problema a vari livelli nelle versioni di 1Password, Dashlane, LastPass e KeePass.

La buona notizia è che tutti i manager hanno protetto con successo le password quando il software non era in esecuzione – quando le password, inclusa la password principale, erano nel database in uno stato crittografato.

Tuttavia, le cose sono andate peggiorando quando ISE ha esaminato come questi prodotti proteggono le password sia nello stato di blocco (in esecuzione prima di immettere la password principale o in esecuzione dopo la disconnessione), sia nello stato completamente sbloccato (dopo aver inserito la password principale).

Piuttosto che generalizzare, è meglio descrivere i problemi relativi a ciascun prodotto.

1Password4 per Windows (v4.6.2.626)

Questa versione legacy mantiene una copia offuscata della password principale in memoria che non viene cancellata quando si torna ad uno stato sbloccato. In determinate condizioni, una versione del testo in chiaro, e quindi vulnerabile, viene lasciata in memoria.

1Password7 per Windows (v7.2.576)

Nonostante sia la versione attuale, i ricercatori la considerano meno sicura di 1Password4 perché decodifica e memorizza nella cache tutte le password del database piuttosto che una alla volta. 1Password7 inoltre non riesce a cancellare le password dalla memoria, inclusa la password principale, quando si passa a uno stato di blocco. Ciò compromette l’efficacia del pulsante di blocco, che richiede all’utente di uscire completamente dal programma.

Dashlane per Windows (v6.1843.0)

Mostra solo una password alla volta in memoria fino a quando un utente non aggiorna una voce, a quel punto l’intero database viene mostrato in chiaro. Questo rimane vero anche quando l’utente blocca il database.

KeePass Password Safe (v2.40)

Le voci del database non vengono cancellate dalla memoria dopo che ciascuna di esse è stata utilizzata, sebbene la password principale non sia, per fortuna, recuperabile.

LastPass for Applications (v4.1.59)

Le voci del database rimangono in memoria anche quando l’applicazione è bloccata. Inoltre, quando si ottiene la chiave di decriptazione, la password master “trapela in uno string buffer” nel quale non viene cancellata, anche quando l’applicazione è bloccata (nota: questa versione viene utilizzata per gestire le password delle applicazioni ed è diversa dal plug-in Web) .

Chiaramente, se le password, in particolare le password master, sono in memoria quando l’applicazione è bloccata, aumenta la possibilità che il malware possa rubare questi dati dopo aver infettato un computer.

Il contro-argomento è che se il malware infetta il tuo computer, praticamente tutto su quel sistema è a rischio che sia nascosto nella memoria o meno. Nessuna applicazione di sicurezza può garantire una difesa da questo tipo di minaccia.

La risposta?

Alcuni dei produttori interessati hanno difeso pubblicamente i propri prodotti, sostenendo che i problemi scoperti dai ricercatori fanno parte di complessi compromessi necessari in fase di progettazione.

LastPass ha anche affermato di aver risolto i problemi riscontrati nel suo prodotto e ha sottolineato che un malintenzionato avrebbe comunque bisogno di un accesso privilegiato al PC di un utente.

Siamo alla fine per i gestori di password?

In breve, no. Il nostro consiglio è di continuare a utilizzare i gestori di password perché i problemi riscontrati sono ancora ampiamente superati dai noti vantaggi del loro utilizzo e verranno probabilmente risolti tramite gli aggiornamenti.

Ciò che importa è che i ricercatori punzecchino i vendor per le debolezze di questi prodotti affinchè facciano tutto il possibile per risolverli il più rapidamente possibile.

In caso di dubbio, una buona idea è quella di chiudere un gestore di password quando non viene utilizzato.

E, naturalmente, non dimenticare di utilizzare l’autenticazione a due fattori ogni volta che puoi. In questo modo, anche se qualcuno ha la tua password, non potrà accedere spacciandosi per te.