Эксперты протестировали только версии для Windows, однако проблема может также затрагивать версии для Mac и мобильных устройств.
Исследователи безопасности компании Independent Security Evaluators обнаружили уязвимости в пяти самых популярных менеджерах паролей для Windows 10: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass.
Как оказалось, находясь в «закрытом» режиме, вышеупомянутые приложения хранят пароли в текстовом файле в памяти компьютера, поэтому злоумышленнику с доступом к устройству не составит труда их похитить (в некоторых случаях исследователям даже удалось извлечь мастер-пароль). Специалисты протестировали только версии приложений для Windows, однако проблема, скорее всего, затрагивает также версии для Mac и мобильных устройств.
По словам исследователей, злоумышленник может восстановить и де-обфусцировать мастер-пароль для 1Password 4, поскольку пароль не удаляется из памяти после того, как приложение было запущено, пользователь ввел пароль, а затем вышел из приложения.
Степень защищенности менеджеров паролей играет чрезвычайную роль в обеспечении кибербезопасности. К примеру, в мае прошлого года злоумышленникам удалось похитить $1,5 млн в криптовалюте Ethereum у стартапа Taylor. Согласно уведомлению Taylor, киберпреступники взломали устройство с приложением 1Password, использовавшимся для хранения закрытых ключей. Правда, была ли атака осуществлена путем взлома менеджера паролей, неизвестно.
Как бы то ни было, пользователям настоятельно не рекомендуется отказываться от менеджеров паролей. Как в свое время отметил известный ИБ-эксперт Трой Хант (Troy Hunt), менеджеры паролей не должны быть идеальными, просто с ними пароли должны быть защищены лучше, чем вообще без них.