Сотрудники Йоркского университета в марте 2020 года представили результаты многолетнего исследования на тему кибербезопасности. В ходе него ими были проанализированы 5 популярных менеджеров паролей: 1Password, Dashlane, RoboForm, Keeper и LastPass. Авторы работы искали в сервисах уязвимости, способные повлечь за собой утечку пользовательских данных. По словам сотрудников университета, уязвимости менеджеров паролей были обнаружены во многих случаях.Одной из проблем безопасности стала вредоносная программа, имитирующая окно авторизации от Google. Сервису не удавалось распознать подделку, в связи с чем логи и пароль пользователя могли быть украдены. Однако утечка данных могла произойти только при выполнении ряда условий. Например, вредоносное приложение должно было быть установлено на устройство пользователя и т. д.Другой проблемой стала уязвимость менеджеров паролей, устанавливаемых в виде приложений для Android. По данным исследователей, они могут подвергаться фишинговым атакам. В рамках них вредоносное приложение могло выдать себя за оригинал, используя идентичное имя. Наиболее уязвимыми к ним оказались 1Password и LastPass.Ещё одна уязвимость менеджеров паролей касается PIN-кодов, вводимых пользователем для авторизации. Во многих сервисах установлено ограничение на количество попыток ввода PIN. Однако в Dashlane и RoboForm обнаружился опасный недостаток. Так, у пользователя есть две попытки для ввода кода, после которых ему достаточно очистить кэш, чтобы продолжить подбирать верную комбинацию. Таким образом, становится возможным взлом брут-форсом.[caption id="attachment_945" align="aligncenter" width="1080"] Фрагмент исследования Йоркского университета[/caption]Выявленные исследователями уязвимости менеджеров паролей также касались возможности утечки данных при использовании различных протоколов (HTTP и HTTPS), субдоменов сайтов и буфера обмена. По словам сотрудников университета, они уже оповестили провайдеров всех сервисов, на базе которых проводилась научная работа, о существующих уязвимостях. О том, для чего нужны менеджеры паролей и как ими пользоваться, вы можете прочитать в наших статьях.
менеджер паролей
В начале июня стало известно, что в раннем доступе появился новый сервис от DropBox. Им стал менеджер паролей. В настоящий момент он доступен клиентам тарифа Dropbox Plus.DropBox Password анонсировал следующие особенности этого продукта. Так, речь идёт о синхронизации базы ключей на всех устройствах пользователя. Кроме того, в основе работы сервиса - шифрование с нулевым разглашением. Это означает, что провайдер не будет получать доступ к базе ключей пользователя.Менеджер паролей от DropBox имеет и другие возможности. К примеру, в нём есть функция автозаполнения паролей в браузере. Также в сервисе предусмотрен генератор надёжных ключей.DropBox Password должен появиться в последней версии приложений для Android и iOS. Ранее клиент DropBox для macOS получил возможность синхронизации данных. Подробнее о другом сервисе компании читайте в нашем обзоре на облачное хранилище. Вы также можете скачать DropBox.
20 августа 2020 года состоялся релиз новой версии менеджера паролей KeePass (Кипас). Разработчики этого неофициального продукта исправили ошибки сервиса, а также добавили некоторые функции. Новая версия KeePass уже доступна для установки.Новшествами стали, в первую очередь, изменённый интерфейс генератора паролей и функция выбора значения для автозаполнения. Так, внешний вид сервиса преобразился, однако дополнительных возможностей для создания паролей не появилось. Однако пользователи Кипас смогут выбирать, что именно должно автоматически заполняться в браузере: имя пользователя или пароль. Такая возможность предусмотрена на случай последовательной авторизации на том или ином сайте.Данная неофициальная версия предназначена для двух операционных систем. Речь идёт о Linux и macOS. Напомним, что официальная версия менеджера паролей доступна исключительно для Windows.Помимо вышеперечисленного, сервис дополнился и другими возможностями. Например, новый тип метаданных, распознавание запуска экранной заставки в среде Xfce и пр. Также новая версия KeePass содержит обновлённую man-страницу.О том, для чего нужно использовать менеджер паролей, читайте в нашей статье. Плюсы и минусы KeePass вы узнаете в рецензии. Вы также можете скачать менеджер паролей на нашей сайте.