Het hoofdwachtwoord van wachtwoordmanagers is in bepaalde gevallen uit het geheugen van de pc te halen, zo hebben onderzoekers van Independent Security Evaluators aangetoond. Een aanvaller die hier misbruik van wil maken moet toegang tot de computer hebben, bijvoorbeeld via malware of fysiek.
Volgens de onderzoekers en de aanbieders van wachtwoordmanagers vormt het probleem dan ook een klein risico voor gebruikers. Voor het onderzoek werd er gekeken naar de wachtwoordmanagers 1Password 7, 1Password 4, Dashlane, KeePass en LastPass op Windows 10. De onderzoekers wilden weten of er informatie van de wachtwoordmanagers uit het geheugen kan worden gehaald als de wachtwoordmanagers nog niet zijn gestart, zijn gestart en ontgrendeld en zijn gestart, maar de gebruiker vervolgens is uitgelogd.
Bij geen van de wachtwoordmanagers is het mogelijk om informatie uit het geheugen te stelen als de programma's nog niet zijn gestart. In de ontgrendelde staat konden de onderzoekers het hoofdwachtwoord en andere geheimen die in de wachtwoordmanagers waren opgeslagen uit het geheugen halen. Iets wat volgens de onderzoekers waarschijnlijk wordt veroorzaakt door geheugenlekken.
Tegenover de Washington Post laat LastPass weten dat het deze week met een update komt. Dashlane zou ook aan een oplossing werken. KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico. Ook de onderzoekers stellen dat zelfs wanneer de wachtwoordmanagers alles goed zouden doen, een aanvaller nog steeds via een keylogger of "clipboard sniffing" toegang tot wachtwoorden kan krijgen, aangezien de wachtwoordmanagers hier geen bescherming tegen bieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.