Duży błąd w menedżerach haseł dla Windows
Eksperci z Independent Security Evaluators przeprowadzili test popularnych menedżerów haseł. Okazało się, iż kilka z nich posiada spory błąd umożliwiający odczyt wszystkich zapisanych danych.
Audyt dotyczył czterech menedżerów haseł: wśród nich znalazł się 1Password, Dashlane, KeePass oraz LastPass - obecnie najpopularniejsze i najchętniej wybierane przez użytkowników rozwiązania. Każdy z menedżerów przechowywał w pamięci komputera hasło główne w postaci "czystego" tekstu, co oznacza, iż dostęp do pliku mógł zdobyć praktycznie każdy.
Luka działa jednak tylko i wyłącznie wtedy, kiedy dany menedżer zostanie uruchomiony na komputerze, a później zablokowany przez użytkownika. Aby wykraść plik z hasłem główny potrzeba jednak zdalnego lub fizycznego dostępu do atakowanej maszyny.
Problem nie występuje, kiedy aplikacja zostaje wyłączona przez użytkownika, a nie zablokowana i wprowadzona w tryb uśpienia.