Bulut parola yöneticilerinde güvenlik açıkları ^{CEFR B2}

Parola yöneticileri birçok kişinin yüzlerce parolasını saklıyor; bu yüzden bulut tabanlı hizmetlerde güvenlik kritik öneme sahip. ETH Zurich Uygulamalı Kriptografi Grubu, Bitwarden, LastPass ve Dashlane gibi üç popüler bulut parola yöneticisini inceledi. Üç sağlayıcı birlikte yaklaşık 60 million kullanıcıya hizmet veriyor ve toplamda 23% pazar payına sahipler.

Araştırma ekibinde Matilda Backendal, Matteo Scarlata, Kenneth Paterson ve Giovanni Torrisi yer aldı. Backendal ve Torrisi şu anda Università della Svizzera italiana'da, Lugano'da çalışıyor. Araştırmacılar hacklenmiş gibi davranan sunucular kurup kötü amaçlı sunucu tehdit modelini varsaydılar. Bitwarden'da 12, LastPass'te 7 ve Dashlane'de 6 olmak üzere bir dizi saldırı gösterdiler. Saldırılar belirli kullanıcı kasalarını hedeflemekten bir kuruluştaki tüm kasaları ele geçirmeye kadar çeşitlilik gösterdi ve çoğu durumda parolalara erişildi ya da parolalar değiştirildi.

Ekip, saldırıların kullanıcıların normal etkileşimlerini kullandığını belirtti: giriş yapmak, kasayı açmak, parolaları görüntülemek veya verileri senkronize etmek gibi eylemler saldırılarda istismar edildi. Araştırmacılar bazı sağlayıcıların hâlâ 90s dönemi kriptografik teknolojiler kullandığını ve parola kurtarma ile paylaşma gibi kullanıcı dostu özelliklerin kodu karmaşıklaştırıp saldırı yüzeyini genişlettiğini vurguladı. Sorumlu açıklama uygulaması izlenip bulgular yayımlanmadan önce sağlayıcılara 90 days verildi; Paterson bazı sağlayıcıların işbirlikçi olduğunu ancak hepsinin hızlı hareket etmediğini söyledi.

• Sistemlerin güncellenmesi ve mevcut müşterilere göç seçeneği sunulması.
• Şeffaflık ve dış denetimlerden geçen yöneticilerin tercih edilmesi.
• Uçtan uca şifrelemenin varsayılan olarak etkin olması.

Paterson, "Çalışmamızın bu sektörde değişim getirmesine yardımcı olmasını istiyoruz" dedi. Kaynak: ETH Zurich.