Stiftung Warentest hodnotí správce hesel

V dubnu 2022 jsme se dozvěděli, že nadace Stiftung Warentest bude brzy srovnávat náš Password Depot - správce hesel "Made in Darmstadt", který se v Německu vyvíjí a prodává již více než 20 let - s ostatními konkurenty v této oblasti.

Náš produkt získal před více než 10 lety dvakrát 1. místo od Fraunhoferova institutu jménem známého počítačového časopisu, dosáhl nesčetných dalších vítězství v testech a naposledy byl podroben přísnému pen testu společnosti SySS GmbH, ve kterém uspěl s hodnocením "velmi bezpečný".

V čísle 07/2022 Stiftung Warentest jsme nyní zaznamenali skutečnost, že Password Depot byl hodnocen pouze jako "dostatečný" (= D).

Jak se to mohlo stát?

V případě aktuálního srovnávacího testu nadace Stiftung Warentest bylo rozhodnuto, že produkt je znehodnocen, tj. nemůže dosáhnout vyššího hodnocení než "Dostatečný" nebo D, pokud při vytváření nových databází povolí jako hlavní heslo jediný znak - tj. bez ohledu na to, jak dobře nebo špatně si vede ve všech ostatních testovacích kritériích.

Hodnocení pro Password Depot 16.0.2

To byl jediný důvod pro hodnocení "dostatečný" nebo "D". Password Depot skutečně umožňoval jednoznaková hlavní hesla až do verze 16.0.3 - ale pouze po výslovném bezpečnostním varování.

Bez této funkce by Password Depot na základě zbývajících kritérií testu pravděpodobně obdržel hodnocení "Dobrý" nebo "B".

O blížící se devalvaci v důsledku zavedení jednoznakového hlavního hesla nás Stiftung Warentest informovala s předstihem (duben 2022). V důsledku toho jsme 26.04.22 provedli aktualizaci a od té doby je při vytváření nových databází vynucována minimální délka 15 znaků. Kromě toho musí být použity alespoň tři ze čtyř typů znaků (velká/malá písmena, číslice, speciální znaky). (Poznámka k této funkci: Je to jistě rozumné výchozí nastavení pro zcela nezkušené uživatele, aby byli chráněni. I když v určitých situacích, například při testování aplikace nebo vytváření dočasných databází, může být nutnost používat takto složitá hesla nepříjemná).

Tuto aktualizaci bohužel testeři při závěrečném hodnocení nezohlednili, přestože jsme ji zveřejnili do 24 hodin poté, co jsme o ní byli informováni, tj. asi 2 měsíce před vydáním vydání 07/2022 (viz aktualizace verze 16.0.3 z 26.4.22).

Naopak konkurenční Avira měla "nebezpečnou bezpečnostní chybu", ale její oprava byla ve zveřejněném testu ještě velmi zohledněna. Není zcela pochopitelné, proč se tak nemohlo stát v našem případě. Po dalším dotazu nám bylo sděleno, že ano: "Bezpečnostní zranitelnost je třeba hodnotit jinak než záměrné rozhodnutí o návrhu.".

Nyní lze polemizovat o tom, zda je nutné znehodnotit správce hesel, pokud povolí jako hlavní heslo jediný znak, přestože na to uživatele výslovně upozorní. Jedno z nejdůležitějších kritérií však z našeho pohledu nebylo při testu vůbec zohledněno:

Pro vyhodnocení bezpečnosti jakéhokoli správce hesel by bylo přinejmenším nutné prozkoumat, jak pracuje s hesly uživatele a zda zanechává nějaké stopy v pracovní paměti. Předpokládejme následující scénář: Uživatel pracuje se správcem hesel v kanceláři. Poté správce hesel zamkne a na krátkou dobu opustí pracoviště - v důvěře, že je vše v pořádku. Pokud se však do uživatelova počítače na několik minut dostane třetí osoba se zlým úmyslem, může si přečíst paměť testovacího vítěze, programu 1Password, a získat přístup ke všem jeho heslům v prostém textu - aniž by si toho tento nešťastný uživatel všiml: to je vážná bezpečnostní chyba!

Mnoho správců hesel nedokáže šifrovat data uživatele v pracovní paměti. Ve skutečnosti to představuje velmi složitý problém, protože se správou paměti systému Windows lze manipulovat a ovládat ji pouze v omezené míře. Překvapivě toto chování nevedlo u "vítěze testu" 1Password ke snížení hodnocení.

Stiftung Warentest to zdůvodnila takto:

"U systému, který již byl kompromitován, si lze představit mnoho scénářů, které by mohly ohrozit bezpečnost uživatele. Vycházet z toho při testování prakticky znemožňuje jakékoli další vyjádření o potenciální bezpečnosti jednotlivých produktů."

S touto obskurní argumentací musíme důrazně nesouhlasit. Zejména u kompromitovaných systémů se musíme snažit chránit každého uživatele tím nejlepším možným způsobem. V opačném případě bychom mohli svá hesla opět ukládat do tabulek Excelu.

I v případě dopravní nehody "si lze představit mnoho scénářů, které by mohly ohrozit bezpečnost uživatelů". Právě proto potřebujeme ve vozidlech airbag, ABS a všechna další bezpečnostní opatření. V návaznosti na argumentaci testerů Stiftung Warentest by tyto bezpečnostní mechanismy neměly v případě nehody smysl, protože "kůň už dávno utekl".

Password Depot naproti tomu šifruje nejen data v pracovní paměti. Poskytuje také ochranu proti malwaru v počítači uživatele - například malwaru, který se snaží vydávat za doplněk Password Depot - tím, že umožňuje komunikaci mezi Password Depot a jeho doplňkem chránit heslem. Nebo, abychom vybrali jinou funkci, blokuje přístup při pokusu o zkopírování příliš mnoha hesel do schránky v příliš krátkém čase.

Pevně doufáme, že se nám podařilo sdělit vám, proč se i přes tento - na první pohled - nevalný výsledek testu nemusíte obávat o bezpečnost svých dat v Password Depot a můžete mu i nadále bez omezení důvěřovat.

PS: Níže uvedené snímky obrazovky ukazují, jak nebezpečně snadné je přečíst hesla z vítěze testu.

Ukázka záznamu v aplikaci 1Password:

Ein Kennwort in 1Password anlegen

Přestože je program uzamčen, je možné přečíst jak heslo, tak uživatelské jméno (pohodlně i se shodnými popisky "Heslo" a "Uživatelské jméno").

Bei 1Password ist das Kennwort im Klartext im Arbeitsspeicher auslesbar