Fastweb

Password manager, problemi di sicurezza per alcuni servizi

Microsoft Outlook Web & Digital #outlook #microsoft Microsoft ammette la falla di sicurezza di Outlook Microsoft ha ammesso che gli hacker sono stati in grado di entrare indisturbati nel servizio email Outlook.com
ISCRIVITI alla Newsletter
Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
Password manager, problemi di sicurezza per alcuni servizi FASTWEB S.p.A.
Password manager
Web & Digital
Alcuni tool di gestione delle password le renderebbero "visibili" all'interno della memoria dei computer. Rischioso, ma non troppo

Un nuovo rapporto suggerisce che i tool di gestione delle password non sono così sicuri come si potrebbe pensare, e che alcuni contengono preoccupanti bug sul fronte della sicurezza, tra cui - in alcuni casi - la memorizzazione della password per le app nella memoria principale del PC in un testo in chiaro.

Prima che tutti inizino a farsi prendere dal panico, però, e a considerare di disinstallare il tool di gestione password, chiariamo che i ricercatori che hanno scritto questo rapporto sostengono ancora l'uso di queste applicazioni.

The Independent Security Evaluators (ISE) osserva che i gestori di password sono sicuramente una buona cosa, e quelli dei principali brand (che hanno partecipato a questo studio) "sono un valore aggiunto nella gestione della sicurezza" e aiutano a evitare molti problemi di password (come password deboli, riutilizzo di password e così via).

Tenendo presente ciò, l'ISE ha valutato 1Password, Dashlane, KeePass e LastPass su Windows 10 e ha rilevato che in alcuni casi, la password principale per le app viene conservata nella memoria di sistema in un formato leggibile in chiaro.

Come sottolinea l'azienda, questo sistema non è migliore dell'archiviare le password su un documento di testo sul computer, specie quando si tratta di un'abile aggressore informatica. In questi casi, anche se l'app di gestione password è 'bloccata' - cioè è in esecuzione, ma è necessario inserire la password principale per accedere alle numerose password memorizzate all'interno dell'applicazione - un hacker può potenzialmente entrare "scoprendo" la password principale in chiaro nella memoria del PC. Una volta entrato, può di conseguenza accedere a tutti i nomi utente e password della vittima per ogni sito e servizio per cui si sono registrati.

La società di sicurezza ha osservato: "Utilizzando uno strumento di reverse engineering, gli analisti di ISE sono stati in grado di valutare rapidamente la gestione dei segreti dei gestori di password in stato di blocco. ISE ha scoperto che è possibile utilizzare la memoria standard per estrarre la password principale e tutti i segreti che essa deve custodire".

Ovviamente vale la pena ricordare che l'hacker ha ancora bisogno di accedere al computer, che sia fisicamente o da remoto, tramite una sorta di "porta di servizio" installata da un malware.

L'ISE osserva inoltre che "è evidente che esistono tentativi fatti per provare a ripulire e 'sanificare' la memoria dei tool di password manager, che restano un ottimo sistema. Tuttavia, ciascun gestore di password non riesce ancora a implementare la corretta disinfezione dei segreti per tutta una serie di motivi." L'organizzazione ritiene necessario un rimedio urgente per consentire ai gestori di password di rimuovere in modo efficace tutti i dati che potrebbero portare a una potenziale falla quando un'applicazione viene eseguita in background in uno stato di blocco.

Si spera sempre che i creatori di questo tipo di software siano attenti al problema e che abbiano già pensato ad un piano di azione per affrontare questi problemi.

Nel frattempo, almeno finché non saranno disponibili patch per ridurre al minimo questi bug, l'ISE raccomanda di non lasciare un'app di gestione password in esecuzione in background. Suggerisce inoltre agli utenti di "terminare completamente il processo, se stanno utilizzando uno dei tool interessati."

Tuttavia, vale la pena ancora ricordare che per accedere a questo tipo di tool è necessario che un hacker riesca materialmente ad entrare nel computer attraverso un malware, cosa che, grazie ad un buon antivirus e ad un po' di accortezza, non è sempre facile.

20 febbraio 2019

Fonte: techradar.com

Ti piace
questo
articolo?
Iscriviti alla nostra Newsletter

Riceverai settimanalmente le notizie più
interessanti sul mondo della tecnologia!

Inserendo l'indirizzo email autorizzi Fastweb all'invio di newsletter editoriali. Se non desideri più ricevere la newsletter, è sufficiente cliccare sul link presente in calce alle mail per richiederne la cancellazione. Condizioni di utilizzo.
TAGS: #password manager #sicurezza

© Fastweb SpA 2019 - P.IVA 12878470157
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.