Ερευνητές εντόπισαν 27 ευπάθειες σε κορυφαίους διαχειριστές κωδικών, αποδεικνύοντας ότι οι υποσχέσεις των εταιρειών για «μηδενική γνώση» των δεδομένων μας δεν είναι πάντα τόσο αδιαπέραστες όσο διαφημίζονται.

Στις μέρες μας, ο μέσος άνθρωπος έχει περίπου 160 διαφορετικούς κωδικούς. Επειδή είναι αδύνατον να τους θυμόμαστε όλους, εμπιστευόμαστε τους Password Managers (Διαχείριση Κωδικών Πρόσβασης).

Αυτά τα προγράμματα κλειδώνουν όλους τους κωδικούς μας πίσω από έναν «κύριο κωδικό», προσφέροντας (θεωρητικά) απόλυτη ασφάλεια μέσω της κρυπτογράφησης μηδενικής γνώσης.

Ίσως δεν είναι και τόσο ασφαλείς οι κωδικοί μας

Ερευνητές από την Ελβετία αποφάσισαν να εξετάσουν τι θα συνέβαινε αν ένας χάκερ κατάφερνε να αποκτήσει τον πλήρη έλεγχο των συστημάτων των εταιρειών αυτών. Εξέτασαν τέσσερις γίγαντες της αγοράς: Bitwarden, LastPass, 1Password και Dashlane.

Τα αποτελέσματα ήταν ανησυχητικά, καθώς βρήκαν 27 διαφορετικούς τρόπους με τους οποίους ένας κακόβουλος διακομιστής θα μπορούσε να «κλέψει» τους κωδικούς των χρηστών.

Σύμφωνα με τον καθηγητή Kenneth Paterson, το πρόβλημα κρύβεται στις δυνατότητες που προστίθενται για να είναι τα προγράμματα πιο εύχρηστα, όπως το μοίρασμα κωδικών (sharing).

Όταν μοιράζεστε έναν κωδικό, το σύστημα ανταλλάσσει «κλειδιά» κρυπτογράφησης. Αν ο διακομιστής της εταιρείας έχει παραβιαστεί, μπορεί να αντικαταστήσει το κλειδί με ένα δικό του. Τότε, ο χάκερ μπορεί να ξεκλειδώσει το «θησαυροφυλάκιό» σας χωρίς να το καταλάβετε ποτέ.

Τι απάντησαν οι εταιρείες μετά την έρευνα

Οι εταιρείες έσπευσαν να καθησυχάσουν το κοινό, τονίζοντας ότι το σενάριο των ερευνητών είναι ακραίο και απαιτεί την πλήρη κατάρρευση της δικής τους ασφάλειας.

Dashlane: Άλλαξε τη διατύπωση στις οδηγίες της, αφαιρώντας τη σιγουριά ότι «κανείς δεν μπορεί να κλέψει τα δεδομένα».

1Password & Bitwarden: Τόνισαν ότι έχουν διορθώσει πολλά από τα ζητήματα που αναφέρθηκαν.

LastPass: Δήλωσε ότι επενδύει εκατομμύρια για να μην συμβεί ποτέ μια τέτοια παραβίαση.

Να τους χρησιμοποιούμε τελικά;

Παρά τις «τρύπες», οι ειδικοί λένε ναι! Είναι ακόμα πολύ πιο ασφαλές να χρησιμοποιείς έναν Password Manager από το να έχεις τον ίδιο απλό κωδικό παντού ή να τους γράφεις σε ένα χαρτάκι.

Όπως λένε χαρακτηριστικά, οι διαχειριστές κωδικών είναι «10 χρόνια πίσω» από τις ασφαλείς εφαρμογές μηνυμάτων (όπως το Signal), αλλά παραμένουν η καλύτερη λύση που έχουμε.

