Bitwarden、LastPass、Dashlaneなどのクラウドベースのパスワードマネージャーは、世界中で約6000万ユーザーにサービスを提供しています。
これらのツールは「ゼロナレッジ暗号化」を通じた強力なセキュリティを約束しており、サーバーがハッキングされてもデータは読み取り不可のままです。
しかし、新しい研究はその信頼を揺るがしています。ETHチューリッヒ応用暗号グループのチームがこれらのプラットフォームで25の深刻な欠陥を発見しました。
サーバーアクセスを持つ攻撃者は、保存されたパスワード、ログイン情報、およびその他の秘密を表示または変更することができます。
Kenneth Paterson教授主導の研究者たちは、「悪質なサーバー脅威モデル」の下でテストを実施しました。
プロバイダーのサーバーが侵害されたと仮定し、ブラウザ拡張機能がどのように反応するかを観察しました。
結果はクライアント側のコードの弱点を露呈させました。Bitwarden は12の脆弱性、LastPass は7つ、Dashlane は6つを持っていました。
これらにより、攻撃者は単一ユーザーのボルトをターゲットにするか、企業全体のコレクション全体を消去することができます。データの同期やボルトを開くなどの簡単なアクション自体が、アプリケーションを騙して復号化された情報を提供させました。
問題は複雑さを増す使いやすさの機能から生じています。パスワードの回復と共有には複雑なロジックが必要であり、攻撃面を拡大しています。
博士課程の学生Matteo Scarlatは、多くがまだ1990年代の時代遅れな暗号技術を使用していると指摘しました。ベンダーはユーザーのロックアウトやビジネスのダウンタイムを防ぐためにアップデートを避けています。
この古いシステムへの依存はゼロナレッジの約束を損なわせます。データがデバイスで暗号化されていても、サーバーはルーティンなブラウザタスク中にそれを操作することができます。
チームは責任ある開示に従い、ベンダーに問題を修正するための90日間を与えました。対応は異なりましたが、パッチが展開されています。ユーザーにとって、これはクラウドマネージャーへの盲目的な信頼を再考することを意味しています。
定期的な外部監査と明確なセキュリティ詳細を持つツールを選択してください。ベンダーは終わりのないパッチの代わりに、最新の暗号への簡単な移行を構築する必要があります。
これらの欠陥は重要なサイバーセキュリティの真実を強調しています:サーバーが悪意を持つようになった場合、完全に安全なシステムはありません。ユーザーは数百万の認証情報を提供するプロバイダーからより良いものを要求する必要があります。
翻訳元: https://cyberpress.org/25-flaws-found-in-cloud-password-managers/