Password-managers onbetrouwbaar

Bookmarklet overneembaar

De aard van gevonden de lekken is wisselend, wat er op duidt dat de makers van de inloghulpjes vaak niet goed nadenken over de inrichting van hun software. De gevonden lekken hebben vaak iets te maken met de toevoegingen die het gebruik van de password managers moeten vergemakkelijken. Zo blijkt mogelijk om een javascript te schrijven dat, indien eenmaal aangeklikt, ongemerkt de rol overneemt van de LastPass-bookmarklet (een javascriptje dat als bookmark is aan te roepen) waarmee LastPass zich vanuit iOS-Safari laat aanroepen. Vanuit die rol kunnen hackers de wachtwoorden die de gebruiker in LastPass opsloeg uitlezen en misbruiken.

Brute rekenkracht

Andere password managers bleken gevoelig voor klassieke trucs als CSRF (cross site request forgery) en XSS (cross site scripting). Een van de CSRF-bugs grijpt aan op LastPass' functie voor het werken met eenmalige wachtwoorden, en resulteert er in dat hackers het versleutelde masterbestand met daarin alle inlogcombinaties van de gebruiker naar zich toe kan halen, om het vervolgens met brute rekenkracht te kraken.

Geautomatiseerd zoeken naar fouten

Zorgwekkender dan de fouten zelf is zo mogelijk nog LastPass' reactie op de onthullingen. Het bedrijf lijkt de fouten te bagatelliseren en te verwijzen naar enkele oudere problemen die het inmiddels wel oploste. De onderzoekers Zhiwei Li, Warren He, Devdatta Akhawe en Dawn Song zijn van plan voorlopig nog even door te gaan. Ze denken onder meer aan een geautomatiseerde oplossing voor het zoeken naar fouten in de beveiliging van password managers. Ook pleiten ze voor password managers die zodanig zijn ontworpen dat ze inherent veilig zijn.