Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
22/02/2019
La mayoría de los gestores de contraseñas exponen datos en memoria
Un análisis de seguridad de sophos alerta de que los gestores de contraseñas exponen datos del usuario en memoria a los que podrína acceder de manera ilegítima cualquier tipo de malware o troyano.
Aunque siga siendo extremadamente recomendable utilizar gestores de contraseñas para almacenar nuestros datos de acceso de una manera más segura y centralizada un estudio ha revelado que todos elos exponen algún tipo de dato en memoria y que su uso no sería completamente seguro.
A continuación se especifica que problemas de seguridad se han encontrado en cada uno de ellos:
- 1Password4 for Windows: almacena una versión ofuscada de la contraseña maestra en memoria, pero bajo ciertas condiciones una versión vulnerable en texto plano se almacena en memoria.
- 1Password7 for Window: a pesar de ser una versión más nueva que la anterior está catalogada como más insegura ya que expone la información al bloquear el registro que se está utilizando para trabajar con el.
- Keepass: Los datos no se pueden recupera de memoria cada vez que son utilizados pero sí la contraseña maestra, afortunadamente no es descifrable.
- LastPass: las entradas pernencen en memoria aunque la aplicación esté bloqueándolas y la contraseña maestra se almacena en un buffer que puede ser leído por aplicaciones maliciosas y posteriormente descifrado usando derivaciones del algoritmo de cifrado.
Tras obtener estos datos gracias al estudio de Sophos quizás lo más recomendable sea utilizar Keepass