Gestores de passwords falham na segurança

Investigadores universitários levantam dúvidas sobre aplicações gestoras de passwords baseadas na Internet.

Passwords_chaves_sxcCientistas da Universidade da Califórnia, em Berkeley, estudaram cinco gestores de passwords e descobriu vulnerabilidades diversas em várias funcionalidades como senhas de utilização única, partilhadas e marcadores de browsers (“bookmarklets”) usados ​​para autenticação em sites com browsers móveis.

“As causas das vulnerabilidades também são diversas: vão desde erros de lógica e autorização, a mal-entendidos sobre o modelo de segurança de Internet”, dizem os investigadores num estudo a será apresentado em Agosto, durante o Usenix Security Symposium, em San Diego. “O nosso trabalho sugere que a segurança continua a ser um desafio para os gestores de passwords”, consideram os cientistas, embora o estudo tenha sido feito durante 2013.

As cinco aplicações estudadas foram a LastPass, a RoboForm, a My1login, a PasswordBox e a NeedMyPassword, que são executadas em browsers. Todas tinham falhas, mas quatro delas tinham vulnerabilidades que permitiam a um intruso explorar e roubar elementos de autenticação de utilizadores em sites.

A variedade de vulnerabilidades descoberta foi suficiente para os investigadores considerarem que, no geral, as aplicações perderam na evolução da sua segurança. “Os gestores de passwords manipulam dados excepcionalmente sensíveis, as ‘chaves do reino’, por assim dizer,” considera Devdatta Akhawe, co-autor da investigação.

Cabe aos seus fornecedores terem uma atitude defensiva mais elevada, diz, quando desenvolvem as aplicações e adoptarem princípios clássicos como a concessão do menor número possível de privilégios, o uso protocolos abertos e a implantação medidas profundas de defesa. Quatro dos fornecedores responderam (em 2013) aos avisos da equipa no prazo de uma semana e corrigiram todas as principais vulnerabilidades. Apenas um, a NeedMyPassword, ainda não respondeu.




Deixe um comentário

O seu email não será publicado