Gerenciadores de senhas têm sua segurança questionada

Pesquisadores da Universidade de Berkley descobriram vulnerabilidades em cinco delas

Cientistas da Universidade da Califórnia, em Berkeley, estudaram cinco aplicações para gerenciar senhas e descobriram diversas vulnerabilidades em funcionalidades como senha descartável (em inglês: One-time password – OTP), senhas compartilhadas e “bookmarklets”, usados ​​para autenticação em browsers móveis.

“As causas das vulnerabilidades também são diversas: vão desde erros de lógica e autorização, a problemas com modelos de segurança web”, disseram os pesquisadores em um estudo a será apresentado em Agosto, durante o Usenix Security Symposium, em San Diego. “O nosso trabalho sugere que a segurança continua a ser um desafio para essas aplicações usadas para gerenciar senhas”, consideram os cientistas, embora o estudo tenha sido feito durante 2013.

As cinco aplicações estudadas foram a LastPass, RoboForm, My1login, PasswordBox e NeedMyPassword, todas executadas em browsers. Todas tinham falhas, mas quatro delas tinham vulnerabilidades que permitiam a um intruso explorar e roubar elementos de autenticação dos usuários em sites na Web.

A variedade de vulnerabilidades descoberta foi suficiente para os pesquisadores considerarem que, no geral, as aplicações não acompanharam a evolução ds riscos de segurança. “Essas aplicações manipulam dados excepcionalmente sensíveis, as ‘chaves do reino’, por assim dizer,” considera Devdatta Akhawe, coautor da investigação.

Cabe aos seus fornecedores terem uma atitude defensiva mais elevada quando desenvolvem as aplicações e adotarem princípios clássicos como a concessão do menor número possível de privilégios, o uso protocolos abertos e a implantação medidas profundas de defesa.

Quatro dos fornecedores já responderam aos avisos da equipe e corrigiram todas as principais vulnerabilidades. Apenas um, a NeedMyPassword, ainda não se manifestou.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Comentários encerrados.

%d blogueiros gostam disto: