image

Hoofdwachtwoord wachtwoordmanagers uit geheugen te halen

woensdag 20 februari 2019, 09:29 door Redactie, 12 reacties

Het hoofdwachtwoord van wachtwoordmanagers is in bepaalde gevallen uit het geheugen van de pc te halen, zo hebben onderzoekers van Independent Security Evaluators aangetoond. Een aanvaller die hier misbruik van wil maken moet toegang tot de computer hebben, bijvoorbeeld via malware of fysiek.

Volgens de onderzoekers en de aanbieders van wachtwoordmanagers vormt het probleem dan ook een klein risico voor gebruikers. Voor het onderzoek werd er gekeken naar de wachtwoordmanagers 1Password 7, 1Password 4, Dashlane, KeePass en LastPass op Windows 10. De onderzoekers wilden weten of er informatie van de wachtwoordmanagers uit het geheugen kan worden gehaald als de wachtwoordmanagers nog niet zijn gestart, zijn gestart en ontgrendeld en zijn gestart, maar de gebruiker vervolgens is uitgelogd.

Bij geen van de wachtwoordmanagers is het mogelijk om informatie uit het geheugen te stelen als de programma's nog niet zijn gestart. In de ontgrendelde staat konden de onderzoekers het hoofdwachtwoord en andere geheimen die in de wachtwoordmanagers waren opgeslagen uit het geheugen halen. Iets wat volgens de onderzoekers waarschijnlijk wordt veroorzaakt door geheugenlekken.

Tegenover de Washington Post laat LastPass weten dat het deze week met een update komt. Dashlane zou ook aan een oplossing werken. KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico. Ook de onderzoekers stellen dat zelfs wanneer de wachtwoordmanagers alles goed zouden doen, een aanvaller nog steeds via een keylogger of "clipboard sniffing" toegang tot wachtwoorden kan krijgen, aangezien de wachtwoordmanagers hier geen bescherming tegen bieden.

Image

Reacties (12)
20-02-2019, 10:00 door Anoniem
KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico.
Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.
20-02-2019, 10:14 door Anoniem
Dit zie je ook bij sommige crypto-currency wallets en daar wil men ook niet patchen. Je kunt dan de private key of credentials uit het geheugen lezen. De vulnerability is inderdaad niet schokkend maar zorg er wel voor dat de complete applicatie geaudit is. Er zijn namelijk wel vectors die geen fysieke toegang vereisen.

De meeste talen hebben zoiets als een Secure String welke er voor zorgt dat het NIET in het geheugen gelekt wordt. Maar ja, dan moeten developers meer gaan nadenken. Goed om te zien dat enkelen daar toch voor kiezen en zich niet achter een "Windows beperking" verschuilen.

Voorbeeld:

DLL Hijacking kan gebruikt worden door een persoon op dezelfde pc maar met een ander user account.

DLL Planting via een SMB share, bijvoorbeeld bij openen van een bepaalde bestandsextensie, verlegt de grens al naar het LAN.

DCOM/COM/ActiveX kunnen in sommige gevallen vanaf het internet de gewenste impact hebben.
20-02-2019, 10:18 door Anoniem
Als iemand al toegang heeft tot je machine is dit weinig verrassend nieuws. Een beetje in het kader van "If you have RCE you can do RCE". Wat een nonsensrapport.
20-02-2019, 11:02 door Anoniem
Door Anoniem:
KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico.
Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.

Je weet dat als je je laptop 'encrypted' hebt dat 'dichtklappen met wachtwoord' niet voldoende is?
Encryptie heeft pas zin bij volledige uitschakeling van je laptop (of hibernate (geheugen op schijf en ram leeg))
20-02-2019, 12:00 door Anoniem
Dus eigelijk moet je ook een key file instellen en niet alleen een wachtwoord. Alleen vervelend als je dan die key file kwijt zou geraken terwijl je wel het wachtwoord nog weet. Of anders qubes os gebruiken, als je moederbord vt-d ondersteunt natuurlijk.
20-02-2019, 16:35 door [Account Verwijderd] - Bijgewerkt: 20-02-2019, 16:35
Door Anoniem:Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.

De kans is klein dat zowel KeepassX en KeepassXC onder Linux deze kwetsbaarheid hebben. Zover ik weet draait Keepass (versie 2 dan) op .NET, en ik heb vernomen (weet niet of dit ook klopt, dus ik kan niet aan enige fact-check doen!) KeepassX en KeepassXC hebben geen afhankelijkheden van Mono (de open implementatie van .NET), en is het minder waarschijnlijk dat ditzelfde trucje uit te halen is onder Linux.

In theorie zou dan betekenen dat:
1. Alle applicaties die .NET (onder Windows) of Mono (onder Linux) nodig hebben mogelijk deze kwetsbaarheid bevatten
2. Keepass versie 1 in dat geval niet getroffen is door deze kwetsbaarheid omdat het niet afhankelijk is van .NET

Uiteindelijk is alle software te compromitteren. Net als dat elke kluisdeur te openen is. Dat is de werkelijkheid van alledag. Het enige dat je kunt doen is het risico afwegen van hetgeen je doet met je software. Ik zal bijvoorbeeld nooit en te nimmer voor een wachtwoordmanager kiezen die alles in de cloud flikkert. Mijn wachtwoorden zitten in een .kdbx-bestand (gebruik zelf ook KeepassX en KeepassXC (allebei dus)), en dit bestand zit netjes "opgesloten" in een VeraCrypt-container. Dat voorkomt uiteraard niet dat mijn hoofdwachtwoord in het geheugen geladen wordt, maar het zorgt wel voor een extra veiligheidslaag. Dus ook al zou de kwetsbaarheid ook in KeepassX en KeepassXC zitten, dan hebben ze er nog weinig aan omdat ze ook door die Veracrypt barrière heen moeten breken. En fysiek achter mijn computer moeten zitten, óf malware moeten fabriceren die onder Linux werkt. En dàt wordt dan wel een lastig verhaal om de boel te kraken....

Trouwens: Hoi L4. ;)
20-02-2019, 16:44 door [Account Verwijderd]
Door Unix4:
Door Anoniem:Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.

De kans is klein dat zowel KeepassX en KeepassXC onder Linux deze kwetsbaarheid hebben. Zover ik weet draait Keepass (versie 2 dan) op .NET, en ik heb vernomen (weet niet of dit ook klopt, dus ik kan niet aan enige fact-check doen!) KeepassX en KeepassXC hebben geen afhankelijkheden van Mono (de open implementatie van .NET), en is het minder waarschijnlijk dat ditzelfde trucje uit te halen is onder Linux.

In theorie zou dan betekenen dat:
1. Alle applicaties die .NET (onder Windows) of Mono (onder Linux) nodig hebben mogelijk deze kwetsbaarheid bevatten
2. Keepass versie 1 in dat geval niet getroffen is door deze kwetsbaarheid omdat het niet afhankelijk is van .NET

Uiteindelijk is alle software te compromitteren. Net als dat elke kluisdeur te openen is. Dat is de werkelijkheid van alledag. Het enige dat je kunt doen is het risico afwegen van hetgeen je doet met je software. Ik zal bijvoorbeeld nooit en te nimmer voor een wachtwoordmanager kiezen die alles in de cloud flikkert. Mijn wachtwoorden zitten in een .kdbx-bestand (gebruik zelf ook KeepassX en KeepassXC (allebei dus)), en dit bestand zit netjes "opgesloten" in een VeraCrypt-container. Dat voorkomt uiteraard niet dat mijn hoofdwachtwoord in het geheugen geladen wordt, maar het zorgt wel voor een extra veiligheidslaag. Dus ook al zou de kwetsbaarheid ook in KeepassX en KeepassXC zitten, dan hebben ze er nog weinig aan omdat ze ook door die Veracrypt barrière heen moeten breken. En fysiek achter mijn computer moeten zitten, óf malware moeten fabriceren die onder Linux werkt. En dàt wordt dan wel een lastig verhaal om de boel te kraken....

Trouwens: Hoi L4. ;)

Hoi Unix4 ;-)

Ik gebruik geen software die afhankelijk is van mono op Manjaro. Ik draai wel KeePassXC portable op Windows 10 Enterprise van de baas. Verwacht ook geen problemen maar ik was gewoon nieuwsgierig en ook verbaasd dat KeePassXC niet meegenomen was in de test.

En ik ben lekker weer terug als Linux4 want ik laat me niet wegjagen en zal altijd mijn persoonlijke mening over alles laten horen. Nog bedankt voor je support vorige week, je was de enige...
20-02-2019, 17:13 door karma4
Door Anoniem:
KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico.
Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.
Het is een logisch functioneel probleem.
Heb je het actief dan zal ergens die informatie er moeten zijn.
Aangezien memory het snelste werkt kun jet daar verwachten.
Niets nieuws elk systeem werkt zo.
Het wordt erger als je wel automatische processing eist maar geen veilige geïsoleerde opslag hebt. Hardcore users password certificaten het werkt en is snel te leveren.
Moet je bekend voorkomen met iot en shodan.
20-02-2019, 20:19 door [Account Verwijderd]
Door karma4:
Door Anoniem:
KeePass en 1Password bestempelden het als een bekende beperking van Windows en een acceptabel risico.
Is dit dan een Windows specifiek probleem? Ik gebruik Manjaro Linux met KeePassXC (niet meegenomen in de test,kent ook een Windows versie). Laptop gaat altijd op slot met password (Linux) als het scherm dichtklapt.
Het is een logisch functioneel probleem.
Heb je het actief dan zal ergens die informatie er moeten zijn.
Aangezien memory het snelste werkt kun jet daar verwachten.
Niets nieuws elk systeem werkt zo.
Het wordt erger als je wel automatische processing eist maar geen veilige geïsoleerde opslag hebt. Hardcore users password certificaten het werkt en is snel te leveren.
Moet je bekend voorkomen met iot en shodan.

Mee eens, alleen de laatste zin slaat weer helemaal nergens op. Bizar hoe je weer eens geheel off-topic IoT bij een probleem over password managers betrekt.
20-02-2019, 22:35 door [Account Verwijderd]
Door Linux4:Ik gebruik geen software die afhankelijk is van mono op Manjaro. Ik draai wel KeePassXC portable op Windows 10 Enterprise van de baas. Verwacht ook geen problemen maar ik was gewoon nieuwsgierig en ook verbaasd dat KeePassXC niet meegenomen was in de test.
Nee, inderdaad. Dat is jammer, want de forks van de originele Keepass tellen net zo goed mee. Alleen is het voordeel van de forks dat ze niet op een tussenlaag werken zoals .NET, Mono of Java. Ik ben sowieso geen fan van applicatieframeworks omdat deze de veiligheid niet ten goede komen. Ik ben daarom ook meteen van Keepass 1 naar KeepassX(C) gegaan. Keepass 2, die dus alleen werkt onder .NET, heb ik om die reden overgeslagen.

Ah, je zegt het zelf: je gebruikt geen Mono. KeepassX en KeepassXC zijn allebei gelukkig niet op een applicatieframework gebouwd en werken volledig zelfstandig. Dat verkleint het risico op veiligheidsissues wel. Al moet er altijd in het achterhoofd gehouden worden dat er ergens heus nog wel een verborgen issue te vinden is.

Door Linux4:En ik ben lekker weer terug als Linux4 want ik laat me niet wegjagen en zal altijd mijn persoonlijke mening over alles laten horen.
Uitstekend! Welkom terug als je eigen "jij". Enne... je zeker niet weg laten jagen. Iedereen mag zijn mening geven, dus jij net zo goed. Als mensen dat vervelend vinden, dan gaan ze maar lekker het forum lezen op de website van Noord-Korea of zo. Dat is precies de plek waar ze maar één mening vinden.

Door Linux4:
Nog bedankt voor je support vorige week, je was de enige...
Graag gedaan hoor. Je levert een prima bijdrage aan allerlei discussies, ook al zullen sommigen die "gekleurd" vinden. Maar ik lees het graag... ;-)
22-02-2019, 09:58 door Anoniem
Kortom, wat is jullie advies?
Bijvoorbeeld Lastpass in combinatie met Authenticator?

Gr,
CCINL
22-02-2019, 10:07 door CCINL
Wat is jullie advies?

Bijvoorbeeld LastPass in combinatie met Authenticator? Is dat veilig?

Gr,
CCINL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.