Se han identificado vulnerabilidades en los administradores de contraseñas que se ejecutan en Windows 10. Los Evaluadores de Seguridad Independientes con sede en Maryland publicaron un informe a principios de esta semana que mostraba los resultados de los exámenes de varios administradores de contraseñas populares.

"En este documento proponemos garantías de seguridad que los administradores de contraseñas deben ofrecer y examinar el funcionamiento subyacente de cinco administradores de contraseñas populares dirigidos a la plataforma Windows 10, " ellos dijeron.

¿Borrando secretos de la memoria cuando no están en uso? Eso es lo que las autoridades habían anticipado inicialmente que sería el caso de los administradores de contraseñas. ¿Una "desinfección de la memoria una vez que se cerró la sesión de un administrador de contraseñas y se colocó en un estado bloqueado"? Eso es lo que anticiparon, también.

Entonces, ¿qué pasó cuando procedieron? Dijeron que "la extracción de secretos triviales era posible desde un administrador de contraseñas bloqueado, incluida la contraseña maestra en algunos casos ".

Charlie Osborne en ZDNet resumió los hallazgos, escribiendo que "ISE pudo extraer estas contraseñas y otras credenciales de inicio de sesión de la memoria mientras el administrador de contraseñas en cuestión estaba bloqueado".

Mundo PC en 2017 definió un administrador de contraseñas como "una aplicación que recuerda sus contraseñas y las almacena en una bóveda cifrada. Una contraseña maestra desbloquea la bóveda cuando necesita recuperar una contraseña o crear una nueva, y lo hace sin que nadie pueda leer lo que escribe sobre su hombro o rastrear el inicio de sesión con un keylogger ".

Osborne dijo en un ejemplo, "la contraseña maestra que los usuarios deben utilizar para acceder a su caché de credenciales se almacenó en la RAM de la PC en un texto sin formato, formato legible ".

Esta no sería la primera vez que surgen preocupaciones acerca de poner todos los huevos en una canasta. Tampoco será la última vez que escuche todos los contraargumentos que, riesgo a un lado, todavía vale la pena utilizar un administrador de contraseñas que se eligió cuidadosamente.

Mundo PC en 2017 es solo uno de los muchos sitios que expresan la opinión de que "a pesar de los problemas de errores y un mercado inundado de buenas y malas opciones, Los expertos en seguridad están de acuerdo, una rareza, en que los administradores de contraseñas son la forma más segura para que las personas administren sus cuentas. Los beneficios de seguridad superan con creces los riesgos ".

El registro en 2019 estaría de acuerdo con eso, incluso con los hallazgos de este informe reciente. "Los administradores de contraseñas pueden dejar sus joyas de la corona en línea 'expuestas en la RAM' al malware, pero bueno, siguen siendo mejores que la alternativa ". Ese fue su titular a principios de esta semana.

Qué es más, las deficiencias de seguridad que fueron reveladas por ISE fueron descritas por El registro como "levemente molesto" y "sin fin del mundo".

Esa visión resuena con lo que dijo el desarrollador de seguridad de 1Password, Jeffrey Goldberg. PCMag en un correo electrónico. "La amenaza realista de este problema es limitada, ", afirmó." Ningún administrador de contraseñas (o cualquier otra cosa) puede prometer que se ejecutará de forma segura en una computadora comprometida ".

"El informe no sugiere de ninguna manera que no deba utilizar un administrador de contraseñas, "dijo Nichols.

Para estar seguro, los autores dejaron bastante claro que sus hallazgos no respaldaban ninguna conclusión de que los administradores de contraseñas no solo fueran inútiles sino también riesgosos. "Primero y ante todo, "dijeron los autores de ISE, "Los administradores de contraseñas son algo bueno. Todos los administradores de contraseñas que hemos examinado agregan valor a la postura de seguridad de la administración de secretos, y como Troy Hunt, un investigador de seguridad activo escribió una vez, 'Los administradores de contraseñas no tienen que ser perfectos, simplemente tienen que ser mejores que no tener uno ".

Su intención en el documento no era "criticar las implementaciones específicas del administrador de contraseñas, "sino más bien" establecer una base mínima razonable que todos los administradores de contraseñas deben cumplir ".

Considerándolo todo, uno está viendo un problema de administrador de contraseñas principalmente de "administración segura de memoria".

Shaun Nichols en El registro vio un hilo común entre cuatro administradores de contraseñas que dejaban las contraseñas ("la contraseña maestra o las credenciales individuales) accesibles en la memoria. Esto podría permitir el malware en un sistema, malware particular con derechos de administrador, para obtener esas contraseñas ".

Los autores del informe señalaron en sus conclusiones que "Cada administrador de contraseñas también intentó borrar secretos de la memoria. Pero quedaron búferes residuales que contenían secretos, muy probablemente debido a pérdidas de memoria, referencias de memoria perdida, o marcos de GUI complejos que no exponen los mecanismos de gestión de la memoria interna para desinfectar secretos ".

Paul Lilly en HotHardware comentó. "La conclusión parece ser que usar un administrador de contraseñas sigue siendo prudente, pero hay margen de mejora ".

Threatpost , mientras tanto, obtuvo una gran cantidad de respuestas de empresas de gestión de contraseñas.

Sandor Palfy, CTO en LastPass, dijo que la vulnerabilidad destacada por ISE estaba presente en una aplicación de Windows "heredada", y que el administrador de contraseñas de LastPass ya ha recibido una actualización para minimizar el riesgo.

Emmanuel Schalit, CEO de Dashlane, dijo una vez que el dispositivo está comprometido, un atacante terminará teniendo acceso a cualquier cosa en el dispositivo y no hay forma de prevenirlo de manera efectiva.

ISE tenía una serie de recomendaciones, de acuerdo a PCMag . Entre sus consejos estaban (1) utilizar productos antivirus de buena reputación (2) cerrar un administrador de contraseñas por completo una vez que haya terminado con él.

© 2019 Science X Network