Independent Security Evaluators (ISE), con sede en Baltimore, Maryland, Estados Unidos, ha publicado el estudio “Password Managers: Under the Hood of Secrets Management”, sobre la seguridad de los gestores de contraseñas.
El software gestor de contraseñas permite el almacenamiento y la recuperación de información confidencial desde una base de datos cifrada. Los usuarios confían en este software debido a que proporciona mejor seguridad frente a la exfiltración trivial que resulta en medios alternos de almacenamiento de contraseñas, como por ejemplo un archivo de texto plano.
El estudio de ISE fue enfocado principalmente en el funcionamiento de los cinco gestores de contraseñas populares para Windows 10:
- 1Password 7
- 1Password 4
- Dashlane
- KeePass
- LastPass
Estos gestores en conjunto acumulan más de 61 millones de usuarios a los que gestionan sus contraseñas.
Cuando no está en ejecución, el programa gestor de contraseñas utiliza las mejores prácticas de seguridad básicas, como limpiar los secretos de la memoria. Sin embargo, cuando está en ejecución o bloqueado, la contraseña maestra u otras contraseñas almacenadas podrían ser robadas directamente en la memoria de la computadora.
La extracción de secretos triviales fue posible desde un gestor de contraseñas bloqueado, incluida la contraseña maestra en algunos casos. Cada gestor de contraseñas también intentó borrar los secretos de la memoria, aunque buffers residuales seguían conteniendo secretos. Esto probablemente debido a pérdidas de memoria, referencias de memoria perdidas o marcos de GUI complejos que no exponen los mecanismos de administración de la memoria interna para desinfectar los secretos.
También puntualizaron que una base de datos de contraseñas extraída del disco y que usara una contraseña maestra segura sería computacionalmente prohibitivo un ataque de fuerza bruta, aunque no imposible si se dieran suficientes recursos informáticos.
Los investigadores plantean recomendaciones a los desarrolladores y usuarios de los programas gestores de contraseñas con el fin de garantizar la seguridad de la información que maneja dicho software.
Recomendaciones al usuario de software gestor de contraseñas:
- Mantener actualizado el sistema operativo
- Utilizar soluciones antivirus conocidas y probadas
- Utilizar las funciones del programa gestor de contraseñas
- Usar carteras de hardware para datos sensibles que se pueden explotar de inmediato
- Utilizar la función de bloqueo automático del sistema operativo
- Seleccionar una contraseña segura como la contraseña maestra
- Usar el cifrado completo del disco duro
- Cerrar por completo el software gestor de contraseñas cuando no está en uso