Kenterbe veri a jelszókezelőket az Office?

Facebook Tweet

2017. október 03. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.10.02.

https://biztonsagportal.hu/kenterbe-veri-a-jelszokezeloket-az-office.html

Jó néhány jelszókezelő szoftver gyorsabban válhat feltörhetővé, mint például egy Office 2016-tal létrehozott, védett dokumentum.

A jelszókezelő alkalmazások és szolgáltatások egyre nagyobb népszerűségnek örvendenek. Ez persze nem csoda, hiszen a felhasználóknak mind több és mind bonyolultabb jelszót kell(ene) megjegyezniük. Ezek a szoftverek pedig segítséget nyújtanak e bizalmas, hitelesítő adatok védett tárolásában, illetve szükség esetén megfelelően biztonságos jelszavak generálásában.

Az Elcomsoft a Distributed Password Recovery (EDPR) szoftver legújabb verziójának kiadásakor azonban úgy vélekedett, hogy számos népszerű jelszókezelő nem hozza azt a védelmi szintet, ami manapság elvárható lenne. A cég szakemberei azt vizsgálták, hogy az új alkalmazás segítségével hány jelszót tudnak kipróbálni a tesztbe bevont jelszókezelők esetében egységnyi idő alatt. Vagyis brute force támadásokat indítottak, és mérték, hogy milyen gyorsan képesek automatizáltan próbálgatni a mester jelszavakat. A mesterjelszavak azért kulcsfontosságúak, mert az alkalmazásokban tárolt adatok titkosítása ezekkel történik egységes módon. Vagyis, ha a mesterjelszóra fény derül, akkor a felhasználó összes hitelesítő adata egy csapásra kiszolgáltatottá válhat.

Forrás: Elcomsoft

Az Elcomsoft ezúttal a 1Password, a KeePass, a LastPass, valamint a Dashlane alkalmazásokat vette górcső alá. Ezek közül a legjobban a LastPass szerepelt, majd a 1Password, a Keepass és végül a Dashlane következett a sorban. A legmegdöbbentőbb azonban az volt, hogy az EDPR szoftver az említett jelszókezelőknél jóval nehezebben birkózott meg egy Excel 2016 által készített és titkosított munkafüzet feltörésével. Ennek fényében pedig a biztonsági kutatók cseppet sem voltak elragadtatva. Annak ellenére sem, hogy azért így az új szoftverük mégis csak nagyobb valószínűséggel tud belátható időn belül feltörni jelszókezelőkhöz tartozó adatállományokat.

Noha a mostani teszteken a jelszókezelők nem szerepelt fényesen, azért a biztonsági cég szakértői hangsúlyozták e szoftverek fontosságát. Hiszen ezek segítségével jelentősen nagyobb biztonságban tudhatók az értékes adataink, mintha azokat egy papírlapra vagy éppen a monitorra írnánk fel. Ugyanakkor tisztában kell lenni azzal, hogy a jelszókezelők sem nyújtanak 100 százalékos védelmet, ezért a mesterjelszó megválasztására és megfelelő kezelésére nagy hangsúlyt kell helyezni.