Вы здесь

В онлайн-менеджеров паролей найдены ошибки безопасности

Ученые из Калифорнийского университета в Беркли (США) в ходе исследований обнаружили критические уязвимости популярных онлайн-менеджеров паролей. Такие ошибки в программном обеспечении, которое помогает пользователю работать с паролями и PIN-кодами, несут серьезную угрозу безопасности личных данных.

менеджер поролей

"Прорехи" в программном обеспечении были найдены в LastPass, PasswordBox, RoboForm, My1login и NeedMyPassword. Самые грубые ошибки дают возможность  злоумышленникам дистанционно завладеть конфиденциальной информацией, не оставляя следов взлома. У менеджера паролей чаще всего есть местная база данных или файлы, содержащие зашифрованные данные пароля. Многие менеджеры паролей автоматически заполняют поле «пользователь» и данные пароля в формах.
Подробный отчет о безопасности хранения паролей в онлайн-менеджерах исследователи предоставят в следующем месяце. Отметим, что LastPass и еще три из четырех вышеупомянутых сервисов уже исправили ошибки. Но сам факт того, что уязвимость существовала такое долгое время, заставляет задуматься.
Самая большая "дыра" была выявлена в LastPass — менеджере, которому еще в 2011 году отдавали предпочтение свыше миллиона человек. Ошибка в JavaScript-коде, который сохраняется в виде браузерной закладки, позволяла мошенникам украсть логины и пароли, как только пользователь нажмет на закладку. Еще одна лазейка в LastPass давала возможность хакерам  полностью получить базу данных паролей, если им известна электронная почта жертвы. Другие менеджеры тоже пестрили изъянами. Критические ошибки создателей PasswordBox, могли привести к краже миллионов реальных имен, логинов и URL-адресов. Такие же "дыры" были найдены в RoboForm, My1login и NeedMyPassword.
Отметим, что ученые исследовали на предмет уязвимостей только те менеджеры, которые держат информацию в "облаке". Приложения, которые хранят базу данных локально, в исследования не вошли.