Jelszókezelők vizsgálata
A BSI tizenegy, Windows, macOS, Android és iOS platformon működő, elterjedt jelszókezelőt vett górcső alá, hogy kiderítse mennyire bízhatók azok abban, hogy a felhasználók érzékeny adatait valóban védelmi zárt rendszerben tartják.
Az eredmények vegyesek, néhány jelszókezelő szerencsésnek bizonyult, például a 1Password-nél nem találtak problémát, másoknál viszont olyan hiányosságokra derült fény, amelyek lehetővé tehetik, hogy a szolgáltató elméletben hozzáférhessen a felhasználók adataihoz. Ilyen például a Chrome Password Manager és egyes, szerver-oldalon titkosítást alkalmazó menedzserek esetében, ha az on-device titkosítás nem teljes körű, előfordulhat, hogy bizonyos mezők nem titkosítottak.
Különösen súlyos a helyzet azoknál a megoldásoknál, amelyeket a BSI gyakorlatilag alkalmatlannak talált, például a PassSecurium vagy a SecureSafe Password-Manager esetében azt állapították meg, hogy a gyártó bármikor hozzáférhet a jelszavakhoz, ami alapvetően ellentétes a jelszókezelők céljával.
A vizsgálat rámutatott továbbá arra is, hogy nem mindegy, hogyan használjuk ezeket az eszközöket, ha a böngésző beépített jelszókezelője mellett döntünk, például Chrome vagy Firefox Password Manager, akkor feltétlenül érdemes mester jelszót beállítani, és használni kéttényezős azonosítást (2FA), ideálisan hardveres token formájában.
A BSI nem azt mondja, hogy fel kéne hagyni a jelszókezelők használatával, éppen ellenkezőleg, a legtöbb vizsgált eszköz jó védelmet nyújthat, ha felelősségteljesen van beállítva és használva. Ugyanakkor felhívják a figyelmet arra, hogy nem mindegy, melyik megoldást választjuk és az sem, hogyan konfiguráljuk, mert nem mindegyik biztosítja azt a zero-knowledge biztonsági modellt, ami miatt a jelszókezelőt használjuk.
