Ne každý správce hesel je bezpečný
Šifrovaní správci hesel, přístupní pomocí jediného hlavního hesla nebo kódu PIN, ukládají a automaticky za uživatele také vyplňují přihlašovací údaje a jsou velmi doporučovány bezpečnostními odborníky.
Vědci z University of York však prokázali, že někteří komerční manažeři hesel nemusí být vůbec bezpeční.
Nikde není bezpečno
Po vytvoření škodlivé aplikace, která se vydávala za legitimní aplikaci Google, dokázali vědci oklamat dva z pěti správců hesel, které testovali.
Výzkumný tým zjistil, že někteří správci hesel použili slabá kritéria pro identifikaci aplikace a ochotně vyplnili uživatelské jméno a heslo. Stačilo tak jen vytvořit falešnou aplikaci, která se tvářila jako ta pravá a správce hesel se nechal snadno oklamat.
Tyto bezpečnostní mezery správců hesel pak snadno poskytují hackerům příležitost získat informace všeho druhu, včetně těch citlivých.
Bezlimitní možnosti jsou na škodu
Vědci také zjistili, že někteří správci hesel nemají limit na to, kolikrát je možné zadat hlavní PIN nebo heslo. To znamená, že pokud by hackeři měli přístup k zařízení jednotlivce, mohli by zahájit útok „hrubou silou“ a uhodnout čtyřmístný PIN přibližně za 2,5 hodiny.
Kromě těchto nových bezpečnostních rizik vědci také sestavili seznam dříve odhalených nedostatků a zjišťovali, zda je provozovatelé již odstranili. A byli nemile překvapeni. Zjistili totiž, že zatímco nejzávažnější z avizovaných problémů byly vyřešeny, mnohé další byly ignorovány.
To nic nemění na tom, že výzkumné týmy se hodlají testováním bezpečnosti správců hesel zabývat intenzivně i v budoucnu. Cílem je především jejich komerční provozovatele donutit k tomu, aby jejich služba byla skutečně odolná vůči napadením hackerů, což se zatím neděje. Dále čtěte: Jedna miliarda zařízení Android je ohrožena hackery.