Passord-apper holder ikke mål

Passord-apper holder ikke mål

De holder orden på passordene, men er elendig kryptert - flere mangler kryptering helt.

«"Secure Password Managers" and "Military-Grade Encryption" on Smartphones: Oh Really?»

Det er tittelen på et foredrag holdt av ElcomsoftBlackhat-konferansen i dag. De har sjekket ut sikkerheten på 17 apps som er ment å holde styr på passordene dine.

Funnenen er urovekkende.

Kun én av applikasjonene holdt mål, ifølge selskapet. Appene som ble testet er til Apples Ios og til RIMs Blackberry.

Ukryptert

Og hør her: I seks av de 17 appene kan passord hentes ut uten en svettedråpe, fordi passordene enten er lagret ukryptert, kryptert med et fast passord eller har brukt kryptografi feil.

De resterende 10 kan alle knekkes i løpet av en dag. De blir «garantert» knekket om passordet brukeren har valgt er mellom 10 og 14 tegn langt.

Det er kun Datavault Password Manager for Ios som holdt mål.

Usikkert

Det er en kjensgjerning at du bør ha forskjellige passord på forskjellige tjenester, likesom du har ulike nøkler til ulike dører i den virkelige verden. Om ett passord kommer på avveie, blir dermed ikke alle dine nettkonti kompromittert samtidig.

Men i vår moderne netthverdag benytter den gjengse bruker et titalls ulike tjenester, og passord blir vanskelig å huske. Derfor har det dukket opp programmer der du taster inn alle dine ulike passord - og beskytter med såkalte masterpassord.

Litt som å ha et nøkkelskap med nøkler, der selve skapet også er låst med en nøkkel.

Men nå viser det seg altså at flere av disse «nøkkelskapene» for mobiltelefon faktisk gjør deg mer utsatt enn du ville vært uten, fordi låsene ikke fungerer, fordi det er hull i nøkkelskapet, eller fordi nøkkelskapene er lette å dirke opp.

App-skapere må tenke bredere

- Vår forskning beviser igjen at it-sikkerhet krever mer enn programmeringskunnskaper, sier Dmitry Sklyarov fra Elcomsoft, ifølge Infosecurity-Magazine.

- Med sterke krypto-biblioteker i åpen kildekode kan hvem som helst og deres bikkjer skrive et passord program og hevde det gir god beskyttelse. Men en god sikkerhetsmodell må ta hele systemet i betraktning, inkludert brukeren selv, og ikke bare utelukkende styrken i krypteringsalgoritmen.

-Bruk innebygd sikkerhet

De anbefaler folk heller å bruke enhetenes innebygde sikkerhetsfunksjoner.

Apple-brukere bør slå på skjemlås - slik at passord kreves hver gang enheten aktiveres - og passordet for backup bør være komplisert å finne ut av. Ulåste enheter bør ikke kobles til datamaskiner man ikke stoler på.

Blackberry-brukere bør også sette opp passord på enheten sin og sikre at minnekort-kryptering er av eller satt til å kryptere ved bruk av enhetsnøkkel eller kryptering ved bruk av enhetsnøkkel og enhetspassord. Dette for å forhindre hackere fra å finne ut hva enhetspassordet er basert på hva som er lagret på minnekortet.

I begge tilfellene bør ukrypterte backupkopier ikke lages.

Elcomsoft har nå tilgjengeliggjort et Whitepaper der du kan se hvilke apper som får ok-stempel og hvilke som får totalt stryk.

Les om:

Sikkerhet