Vulnerabilidades nos Gerenciadores de Senha
Os gerenciadores de senha são frequentemente considerados como cofres impenetráveis na nuvem, onde os dados do usuário são guardados de forma segura. No entanto, uma pesquisa recente das Universidades de Zurique e da Svizzera Italiana revelou que esses serviços têm falhas críticas que podem ser facilmente exploradas por hackers.
A pesquisa, liderada por Kenneth Paterson, realizou 27 ataques bem-sucedidos nos aplicativos de gerenciamento de senha Bitwarden, LastPass e Dashlane, mostrando que táticas elaboradas conseguem “abrir o cofre” das senhas de usuário com relativa facilidade. Os resultados desmentem a promessa de Zero-Knowledge, que garante que os dados do usuário guardados não podem ser vistos sequer pela própria empresa.
As vulnerabilidades encontradas incluem a falta de integridade no texto cifrado e a ligação criptográfica, onde metadados, como a URL, não são mantidos distantes de dados sensíveis, como a senha, de maneira satisfatória. Além disso, os pesquisadores encontraram problemas de legado que mantinham métodos de segurança de 15 anos atrás ativos, permitindo a “adivinhação” de dados.
- Falta de integridade no texto cifrado
- Ligação criptográfica
- Problemas de legado
Os serviços Bitwarden, LastPass e Dashlane revelaram fraquezas, enquanto o 1Password se mostrou o mais seguro, com a tecnologia de Chave Secreta, que mantém o código para acessar os dados no aparelho do usuário, impossibilitando a maioria dos ataques por servidor.
Os pesquisadores recomendam usar o serviço de Chave Secreta ou uma chave de segurança de hardware, como a YoubiKey, que adiciona uma camada física de segurança. Usuários dos apps vulneráveis devem atualizá-los o mais rápido possível para evitar problemas de segurança.
Este conteúdo pode conter links de compra.
Fonte: link