Prehnaná panika okolo (aktuálnych) zraniteľností populárnych password managerov
Minulý týždeň rezonovali internetom nadpisy a články, ktoré mohli pri zbežnom prehliadaní (tak typickom pre dnešnú uponáhľanú dobu) vyvolať dojem, že password manager (správca hesiel) je zbytočným, či dokonca nebezpečným softwarom. Veľkou skratkou - nie je to tak! Napriek tomu, že žiaden software, password manager nevynímajúc, nie je dokonalý a bez chýb, nie je aktuálna panika vyvolaná zisteniami spoločnosti ISE na mieste.
Spoločnosť totiž prišla, veľmi zjednodušene, s (pravdivým) tvrdením, že ňou testované, veľmi populárne, password managery (1Password, Dashlane, KeePass a LastPass) obsahujú zraniteľnosti, ktoré umožňujú lokálnemu útočníkovi, či mavléru malwaru dostať sa za určitých okolností, v pamäti počítača, k použitým heslám, resp. aj master passwordu. Ono to na prvý, aj druhý pohľad vyzerá pomerne zle, ibaže si treba uvedomiť ten podstatný fakt - útočník, ktorý má vôbec možnosť vykonať tento tip útoku vás už má aj tak v hrsti. Má nepreberné množstvo možností, ako sa dostať ku vaším heslám, či iným cenným údajom. Toto je "len" jedna z nich. Žiaden software, ktorý beží už na napadnutom, resp. ovládnutom počítači nezostáva totiž úplne v bezpečí. Isteže, pokiaľ existuje rozumná možnosť, ako takéto chyby odstrániť, či sa im ideálne vyvarovať, treba ju využiť. Pri tejto konkrétnej zraniteľnosti to však nie je až tak úplne jednoznačné, na čo poukazujú aj viaceré z dotknutých spoločností. Technickými detailmi vás však už zaťažovať nemienim. Vcelku pekne tiež situáciu pokryli chalani na root.cz. To podstatné, čo by ste si však mali pamätať, sú tieto dve veci:
- Žiaden software nedokáže bežať na 100% bezpečne na už napadnutom a ovládnutom zariadení.
- Použitie password managera so sebou prináša, samozrejme, určité riziká. Tieto riziká sú však menšie, než riziká plynúce z jeho nepoužitia.
Takže, ak password manager používate, nepodliehajte panike. Samozrejme snažte sa udržiavať vaše zariadenia dostatočne zabezpečené. Ak však ešte password manager nepoužívate, určite začnite. Ideálne hneď a pokojne siahnite aj po jednom z vyššie menovaných.