Felhőalapú jelszókezelők biztonsági elemzése
Az ETH Zürich vizsgálata szerint a jelszókezelők nem mindig nyújtanak olyan erős védelmet, mint ahogy azt a marketingjük sugallja. A kutatás során a szakemberek azt vizsgálták, hogyan kezelik a különféle, népszerű jelszókezelő szolgáltatások a titkosított tárolást, a hozzáférés-védelmet és a szinkronizációs mechanizmusokat. A legtöbb megoldás kriptográfiailag elvben erős, a helyi adattárolás és a master jelszó mögötti titkosítás megfelelő matematikai alapokra épül, ugyanakkor gyakorlati szempontból vannak olyan gyenge pontok, amelyek csökkenthetik a tényleges biztonságot.
Az Eidgenössische Technische Hochschule Zürich kutatóinak egyik fő megállapítása, hogy sok jelszókezelő különböző platformokon eltérő mechanizmusokat használ, ami azt jelenti, hogy egy asztali alkalmazásban erős titkosítás működhet, de egy mobil kliens vagy böngésző-kiterjesztés már gyengébb implementációt alkalmazhat, különösen ha a szinkronizációs csatorna nincs megfelelően védve, lehetőséget adhat arra, hogy egy megtámadott végponton keresztül a kulcsok vagy jelszavak hot-path elemzéshez kerüljenek. A problémát tetézi, hogy a különböző szolgáltatások gyakran tükrözik a tárolt tartalmat különböző formátumokban, így ha egy szolgáltatás sebezhetővé válik, az más platformok felé is átívelő kockázatot okozhat.
Másik fontos felismerés az volt, hogy a szinkronizációs mechanizmusok, amelyek a felhasználó adatait több eszközön tartják naprakészen, néha nem ideális biztonsági modelleket követnek, és a kulcsok mozgása a szerver és a kliens között olyan felületet jelent, amelyet rosszindulatú szereplők kreatívan kihasználhatnak. Az ETH kutatói szerint ezek a csatornák nem mindig nyújtanak olyan end-to-end védelmet, mint amit a felhasználók várnak, különösen ha nem megfelelő módon vannak konfigurálva vagy ha a szolgáltatás nem kínál dedikált, kliens-oldali titkosítást az összes metaadatára.
A vizsgálat nem általánosít minden jelszókezelőre azért jelzi, hogy a valós biztonság gyakran eltérhet attól, amit a felhasználói élmény vagy marketing sugall. A jelszókezelők továbbra is lényeges eszközök maradnak a modern védekezésben, de nem helyettesítik teljes mértékben a többrétegű biztonsági stratégiát, különösen akkor, ha a végponti eszközök vagy a hálózati környezet kompromittált.
