Wachtwoordmanager blijft belangrijke tool ondanks lekverhalen

Deskundigen nuanceren de kwetsbaarheden in verschillende wachtwoordbeheerders die wachtwoorden in het werkgeheugen kunnen onthullen. Aanvallers kiezen makkelijkere manieren om wachtwoorden te stelen.

Beveiligingsonderzoekers hebben recent kwetsbaarheden gevonden in wachtwoordmanagers waardoor aanvallers met toegang tot een computer wachtwoorden uit het geheugen kunnen stelen. Dit is een reële kwetsbaarheid en het beveiligen van het werkgeheugen blijft een issue in de softwaresector, maar deskundigen wijzen er op dat er makkelijkere manieren zijn om wachtwoorden te stelen.

Het rapport dat stof deed opwaaien in de beveiligingswereld kwam van beveiligingsconsultancy Independent Security Evaluators (ISE) die een goede naam heeft wat betreft het vinden van kwetsbaarheden. Het bedrijf keek naar de desktopversies van LastPass, Dashlane, 1Password v4 en v7, en KeePass. ISE keek naar de beveiligingsgaranties in drie scenario's: niet draaiend met de kluis vergrendeld, draaiend met de kluis ontgrendeld en draaiden met de kluis vergrendeld.

Hoe aanvallers wachtwoorden ontdekken in het geheugen

Wachtwoordmanagers versleutelen de database met een sleutel die wordt afgeleid van het hoofdwachtwoord. Als een gebruiker dat wachtwoord intikt, wordt de sleutel in het geheugen geladen en de kluis ontgrendeld. Sommige of alle wachtwoorden daarin kunnen ook tijdelijk worden ingeladen in het geheugen van het programma.

ISE keek naar hoe goed de applicaties de secrets na gebruik uit het geheugen verwijderden en ontdekte dat er resten achterbleven. Dit buffergeheugen kan worden gebruikt om het hoofdwachtwoord te achterhalen of individuele wachtwoorden terwijl de kluis van de nog draaiende applicatie vergrendeld zou moeten zijn, als de gebruikers deze zelf vergrendelden of uitlogden.

Alle geteste applicaties beveiligden hun kluis afdoende wanneer ze niet draaiden, dus als de database wordt gestolen van de schijf en er een sterk hoofdwachtwoord wordt gebruikt is het erg lastig om deze te kraken met brute force-technieken. De enige zorg is memoryscraping, waar malware of een aanvaller het RAM uitpluist op zoek naar secrets. Maar voor zo'n aanval heeft een kwaadwillende toegang nodig tot de lokale computer.

"Het hoofdwachtwoord is niet het doel, het is een stap op weg naar het doel", zegt Jake Williams, consultant bij Rendition Infosec. "Het echte doel is de wachtwoorden van de accounts die worden beschermd door de manager. Form-grabbing, waarbij de gebruiker wachtwoorden auto-aanvult in de browser, zou een manier zijn om de accountwachtwoorden te stelen. Een andere voor de hand liggende methode is het gebruik van een keylogger." Ook de ISE-onderzoekers halen aan dat slachtoffers van keylogging of klembord-doorzoekende malware geen bescherming genieten.

Deskundigen: blijf wachtwoordmanagers gebruiken

Deze kwetsbaarheid, die maar deels kan worden afgeschermd, maakt wachtwoordmanagers niet minder bruikbaar en noodzakelijk, vooral omdat een groot deel van de aanvallen via overgenomen accounts mogelijk zijn omdat mensen zwakke wachtwoorden gebruiken, of hetzelfde wachtwoord gebruiken voor meerdere accounts.

Een van de beste manieren waarop gebruikers hun online gegevens kunnen beschermen is door unieke wachtwoorden te gebruiken voor al hun accounts. De enige redelijke manier om al deze lange, complexe en unieke wachtwoorden te onthouden is door dit door een wachtwoordbeheerder te laten doen.

Voor een aantal voorbeelden heeft zustersite Webwereld 9 wachtwoordmanagers die je wapenen tegen hackers.

Williams vergelijkt het advies om wachtwoordmanagers niet te gebruiken vanwege RAM-scraping risico's met het advies om geen autogordels te gebruiken omdat je vast zou kunnen komen te zitten met een ongeval. "Het is zelfs nog erger. In het geval van autogordels kan ik voorbeelden vinden waar ze daadwerkelijk schade veroorzaakten, maar ik kan geen enkel voorbeeld opnoemen van een wachtwoordbeheerder die omzeild is met geheugen-scraping."

Malware die het RAM scrapet bestaat en is in het verleden wel eens gebruikt, bijvoorbeeld in het geval van creditcardgegevens via een kassasysteem. Een high-profile voorbeeld waar zulke geheugentechnieken met succes zijn toegepast is de beruchte creditcarddiefstal bij retailketen Target waarbij 41 miljoen kaartgegevens werden gestolen.

Zulke malware kan worden gebruikt om data uit het werkgeheugen te stelen, inclusief wachtwoorden, als aanvallers maar weten waar ze moeten zoeken. Het verandert niets aan het idee dat als een aanvaller zulke malware kan uitvoeren, hij of zij ook een keylogger kan introduceren om wachtwoorden te stelen, wat veel makkelijker is dan het scrapen van RAM en geen gespecialiseerde kennis vereist.

Het issue van het beveiligen van secrets in het werkgeheugen van draaiende programma's is al lange tijd een lastig issue. Het is de reden dat sommige apparaten dedicated cryptografische chips bevatten die parallel aan de CPU draaien om encryptiesleutels te bewaren of om gevoelige operaties uit te voeren die deze sleutels vereisen.

Voorbeelden daarvan zijn de Trusted Platform Module in zakelijke laptops, Intels Software Guard Extensions in moderne CPU's van de chipmaker, de ARM TrustZone in CPU's van ARM, de Secure Enclave in iOS-apparaten of de Qualcomm Secure Execution Environment in chips van de mobiele chipgigant. Zelfs deze moderne technologieën zijn niet gevrijwaard van kwetsbaarheden.

"We hebben meerdere gevallen gezien van fabrikanten en apparaten met problemen in hun hardwarebeveiliging", zegt Gavin Millard, onderdirecteur bij beveiligingsbedrijf Tenable. "Als organisaties zich hier zorgen om maken, moeten ze niet een enkele sleutel gebruiken. In plaats daarvan is twee- of zelfs driefactor-authenticatie nodig, bijvoorbeeld een wachtwoord (iets wat je kent), met een eenmalige code (iets wat je hebt) en een vingerafdruk of irisscan (iets wat je bent). Als een wachtwoord wordt gestolen, is er een tweede - of zelfs derde - element dat omzeild moet worden.

Reactie makers van wachtwoordmanagers

Net als Williams denkt Millard dat de potentie voor misbruik door geheugen-scraping niet opweegt tegen de voordelen van een wachtwoordmanager en dat dit risico nog verder ingeperkt kan worden. Multifactor-authenticatie voorkomt de diefstal van wachtwoorden niet, maar wel dat aanvallers de gestolen wachtwoorden kunnen worden misbruikt. Veel online diensten bieden al tweefactor-authenticatie en bedrijven voegen het inmiddels meer toe aan interne applicaties.

Sandor Palfy, CTO van LastPass, vertelt aan ons dat deze kwetsbaarheid enkel van toepassing is op LastPass for Applications, de legacy-toepassing voor Windows. LastPass ontdekte deze kwetsbaarheid via zijn bugbountyprogramma en bracht wijzigingen aan om de kans op misbruik te beperken. Als een gebruiker nu uitlogt, wordt al het gebruikte geheugen nu geleegd, aldus de CTO.

"In het scenario waar we het over hebben, heeft een aanvaller volledige controle over een apparaat", zegt de CEO van Dashlane, Emmanuel Schalit, via e-mail. "Het is welbekend in de wereld van security dat dit scenario een extreme is, in de zin dat geen enkel mechanisme bescherming biedt van digitale informatie als iemand zulke toegang heeft tot een apparaat."

Hij vertelt erbij dat dit exacte scenario is besproken in een whitepaper die beschikbaar is op de site van Dashlane, en dat het argument om te waarschuwen tegen het gebruik van wachtwoordmanagers 'gevaarlijke logica' is. "Stellen dat je een oplossing nooit moet gebruiken tenzij het vrijwel onmogelijk is te omzeilen betekent dat je in feite alle beveiligingssoftware afraadt, omdat je in het genoemde scenario alle beveiliging kunt omzeilen."

Lees meer over hoe wachtwoordmanagers functioneren en in welke scenario's welk middel het beste is in: 5 dingen die je moet weten over wachtwoordmanagers.

"Dit is een bekend issue dat vaak publiekelijk besproken is, maar ieder plausibel middel kan wel eens erger zijn dan de kwaal", aldus Jeffrey Goldberg, Chief Defender Against The Dark Arts bij 1Password. "Dit specifieke probleem oplossen introduceert grotere risico's, dus we hebben gekozen voor de beveiliging die geboden wordt met high-level geheugenbeheer, zelfs als dat betekent dat we niet direct het werkgeheugen kunnen legen. Zo'n compromis is op lange termijn misschien niet nodig, maar gezien de tools en technologieën die we nu hebben, moesten we een beslissing nemen over hoe we het beste onze gebruikers kunnen beveiligen. Ik sta achter onze beslissing."

Maar in zijn algemeenheid is een van de grootste problemen van informatiebeveiliging momenteel de illusie dat je risico kunt uitsluiten, zegt Jayson Street, bekend hacker, beveiligingsauteur en momenteel directeur bij InfoSec van SphereNY. "We zijn niet bezig met het elimineren van risico", vertelt hij aan ons. "Ons werk is het zoveel mogelijk beperken van risico's en dan kijken wat we niet kunnen beperken en accepteren dat niet alles uit te sluiten is. Dat is een continu proces, geen absolute oplossing.

"Moet je wachtwoordmanagers bijwerken en repareren? Ja, omdat de meeste gebruikers meer risico lopen als ze hem niet hanteren", zegt Street. "We moeten ervoor zorgen dat gebruikers niet meteen reageren, maar de risico's begrijpen en geïnformeerde beslissingen maken over wat de voornaamste functie en verantwoordelijkheid is van informatiebeveiliging."

Related:

Copyright © 2019 IDG Communications, Inc.

 
Shop Tech Products at Amazon