Master password van wachtwoordmanager valt te achterhalen in Windows 10
Een dag geleefd zonder het gebruik van een wachtwoordmanager? Het is niet aan te raden in het tijdperk waarin dagelijks datalekken verschijnen. Voor gebruikers van Windows 10 blijkt nu dat het niet eens geheel veilig is om alle wachtwoordmanagers te gebruiken, waarbij LastPass en 1Password er wel bovenuit springen. Uit een onderzoek van de ISE (Independent Security Evaluators) blijkt namelijk dat van deze twee wachtwoordmanagers de Master Passwords via Windows 10 te achterhalen zijn. Nu is het niet zo dat iedereen deze aanval uit kan voeren: er moet namelijk toegang tot de computer zijn. Dat maakt dat deze techniek enkel werkt bij gerichte aanvallen in Windows 10 op 1Password en LastPass.
In zijn totaliteit heeft de ISE zich gericht op een viertal wachtwoordmanagers, met name: LastPass, KeePass, Dashlane en 1Password. Van de vier wachtwoordmanagers is getest of er sporen werden achtergelaten in het geheugen van Windows. Voor alle wachtwoordmanagers was dit wel het geval, al kon ISE alleen bij 1Password en LastPass het Master Password ontcijferen. Wat ernstig is aan de problemen, is dat ze zich ook voortdoen als de wachtwoordmanagers in gesloten staat zijn. Daarmee is het dus mogelijk om de wachtwoordkluis nadien te openen. Onderzoekers vinden dat wachtwoordmanagers enkel wachtwoorden waar op dat moment naar wordt gekeken, in het geheugen moeten opslaan. Voor het MP concluderen ze dat deze nooit aanwezig mag zijn in het geheugen, zelfs niet in versleutelde staat.
Weinig actie vanuit 1Password
Alle ontwikkelaars hebben bij The Washington Post een reactie achtergelaten. LastPass heeft aangegeven deze week al met een update te komen. Dashlane geeft aan een tijd druk bezig te zijn met een oplossing, maar dat andere beveiligingsproblemen een hogere prioriteit meekregen. KeePass, een van de wachtwoordmanagers die zijn wachtwoorden binnen wist te houden, reageert met de vermelding dat het een ‘bekend fenomeen’ is met Windows 10. De laatste reactie is afkomstig van 1Password, die er tevens een bericht over heeft geplaatst op zijn forum. In het bericht staat dat de problemen horen bij de werking van Windows 10. 1Password lijkt dan ook niet van plan om aanpassingen te verrichten, al zou dat ook te maken hebben met ‘extra beveiligingsrisico’s’ die de wijziging met zich mee zou brengen.