![](\"https:\/\/sophos.files.wordpress.com\/2019\/02\/shutterstock_640477099-compressor.jpg\"\/)
<\/p>\nI ricercatori hanno scoperto una sorprendente debolezza nella sicurezza dei password manager: diversi prodotti molto conosciuti sembrano presentare una vulnerabilit\u00e0 nella cancellazione delle password dalla memoria quando non vengono pi\u00f9 utilizzate.<\/p>\n
Un’analisi<\/a> condotta da Independent Security Evaluators (ISE) ha scoperto il problema a vari livelli nelle versioni di 1Password, Dashlane, LastPass e KeePass.<\/p>\n La buona notizia \u00e8 che tutti i manager hanno protetto con successo le password quando il software non era in esecuzione – quando le password, inclusa la password principale, erano nel database in uno stato crittografato.<\/p>\n Tuttavia, le cose sono andate peggiorando quando ISE ha esaminato come questi prodotti proteggono le password sia nello stato di blocco (in esecuzione prima di immettere la password principale o in esecuzione dopo la disconnessione), sia nello stato completamente sbloccato (dopo aver inserito la password principale).<\/p>\n Piuttosto che generalizzare, \u00e8 meglio descrivere i problemi relativi a ciascun prodotto.<\/p>\n Questa versione legacy mantiene una copia offuscata della password principale in memoria che non viene cancellata quando si torna ad uno stato sbloccato. In determinate condizioni, una versione del testo in chiaro, e quindi vulnerabile, viene lasciata in memoria.<\/p>\n Nonostante sia la versione attuale, i ricercatori la considerano meno sicura di 1Password4 perch\u00e9 decodifica e memorizza nella cache tutte le password del database piuttosto che una alla volta. 1Password7 inoltre non riesce a cancellare le password dalla memoria, inclusa la password principale, quando si passa a uno stato di blocco. Ci\u00f2 compromette l’efficacia del pulsante di blocco, che richiede all’utente di uscire completamente dal programma.<\/p>\n Mostra solo una password alla volta in memoria fino a quando un utente non aggiorna una voce, a quel punto l’intero database viene mostrato in chiaro. Questo rimane vero anche quando l’utente blocca il database.<\/p>\n Le voci del database non vengono cancellate dalla memoria dopo che ciascuna di esse \u00e8 stata utilizzata, sebbene la password principale non sia, per fortuna, recuperabile.<\/p>\n Le voci del database rimangono in memoria anche quando l’applicazione \u00e8 bloccata. Inoltre, quando si ottiene la chiave di decriptazione, la password master “trapela in uno string buffer” nel quale non viene cancellata, anche quando l’applicazione \u00e8 bloccata (nota: questa versione viene utilizzata per gestire le password delle applicazioni ed \u00e8 diversa dal plug-in Web) .<\/p>\n Chiaramente, se le password, in particolare le password master, sono in memoria quando l’applicazione \u00e8 bloccata, aumenta la possibilit\u00e0 che il malware possa rubare questi dati dopo aver infettato un computer.<\/p>\n Il contro-argomento \u00e8 che se il malware infetta il tuo computer, praticamente tutto su quel sistema \u00e8 a rischio che sia nascosto nella memoria o meno. Nessuna applicazione di sicurezza pu\u00f2 garantire una difesa da questo tipo di minaccia.<\/p>\n Alcuni dei produttori interessati hanno difeso pubblicamente<\/a> i propri prodotti, sostenendo che i problemi scoperti dai ricercatori fanno parte di complessi compromessi necessari in fase di progettazione.<\/p>\n1Password4 per Windows (v4.6.2.626)<\/h2>\n
1Password7 per Windows (v7.2.576)<\/h2>\n
Dashlane per Windows (v6.1843.0)<\/h2>\n
KeePass Password Safe (v2.40)<\/h2>\n
LastPass for Applications (v4.1.59)<\/h2>\n
La risposta?<\/h2>\n