Analisis beberapa produk pengelola kata sandi teratas telah mengungkapkan kerentanan dalam alat yang mereka gunakan yang berpotensi membahayakan keamanan kredensial pengguna, menurut Independent Security Evaluators (ISE).
Sebuah studi baru, Under the Hood of Secrets Management, menemukan bahwa berbagai manajer kata sandi yang berbeda, termasuk 1Password dan LastPass, memiliki kelemahan mendasar.
“Seratus persen dari produk yang dianalisis oleh ISE gagal memberikan keamanan untuk menjaga kata sandi pengguna seperti yang diiklankan,” kata CEO ISE Stephen Bono dalam siaran pers.
“Meskipun pengelola kata sandi menyediakan beberapa utilitas untuk menyimpan login / kata sandi dan membatasi penggunaan kembali kata sandi, aplikasi ini adalah target yang rentan untuk pengumpulan massal data ini melalui kampanye peretasan berbahaya.”
Kelemahan keamanan juga ditemukan di pengelola kata sandi Dashlane dan KeePass, yang terungkap setelah para peneliti ISE dilaporkan memeriksa fungsi yang mendasari produk-produk ini pada Windows 10 untuk memahami bagaimana rahasia pengguna disimpan bahkan ketika pengelola kata sandi dikunci.
Peneliti ISE sebelumnya menganalisis serangkaian manajer kata sandi, sehingga mereka berharap menemukan langkah-langkah keamanan yang ditingkatkan dengan studi terbaru mereka. Meskipun manajer kata sandi berjanji untuk menemukan solusi untuk risiko keamanan yang melekat pada kata sandi, mereka yang dianalisis menyimpan data dalam teks biasa saat dikunci.
“Satu temuan utama adalah bahwa, dalam kasus tertentu, kata sandi utama berada di memori komputer dalam format yang dapat dibaca plaintext - tidak lebih aman daripada menyimpannya dalam dokumen atau di desktop sejauh menyangkut musuh”.
“Pengguna dituntun untuk percaya bahwa informasi itu aman ketika pengelola kata sandi terkunci. Padahal, begitu kata sandi utama tersedia untuk penyerang, mereka dapat mendekripsi basis data pengelola kata sandi - rahasia yang tersimpan, nama pengguna, dan kata sandi. ISE mendemonstrasikan dimungkinkan untuk mengekstrak kata sandi master dan kredensial masuk lainnya dari memori saat pengelola kata sandi dikunci. “
Terlepas dari penemuan itu, ISE dengan cepat menambahkan bahwa “Pertama dan terpenting, pengelola kata sandi adalah hal yang baik. Semua pengelola kata sandi yang telah kami periksa menambah nilai pada postur keamanan manajemen rahasia.“
