Швейцарские исследователи кибербезопасности провели тестирование трех наиболее популярных менеджеров паролей: Bitwarden, LastPass и Dashlane. Суммарно их используют 60 миллионов пользователей, которые хранят в якобы надежно защищенных хранилищах свои конфиденциальные данные. Исследователям удалось без особого труда взломать защиту всех трех сервисов и тем самым подтвердить старую истину – корпоративные решения чрезвычайно ненадежны.
Корни этой проблемы уходят в 1990-е, во времена зарождения Интернета. Разработанные тогда технологии шифрования и соответствующие фреймворки давно устарели, однако крупные сервисы по-прежнему их используют. Им сложно решиться на перемены, даже если те соответствуют вызову времени, так как есть риски потери пользовательских данных в процессе.
Вторая часть проблемы – архитектура таких хранилищ всегда является компромиссом между надежностью и удобством для пользователей. В попытках сделать пользовательский опыт как можно более комфортным второе часто становится приоритетным, из-за чего начинают страдать защитные системы. Например, появляются уязвимые опции, такие как восстановление учетной записи и семейный доступ. И злоумышленники использую их для взлома серверов.
В ходе последнего исследования швейцарские специалисты провели 12 успешных атак на Bitwarden, семь на LastPass и шесть на Dashlane. Они передали информацию о найденных уязвимостях представителям сервисов и дали им 90 дней на исправление ошибок, прежде чем эти сведения будут обнародованы.
