Η Stiftung Warentest αξιολογεί τους διαχειριστές κωδικών πρόσβασης

Τον Απρίλιο του 2022, μάθαμε ότι η Stiftung Warentest θα συγκρίνει σύντομα το Password Depot - έναν διαχειριστή κωδικών πρόσβασης "Made in Darmstadt", ο οποίος αναπτύσσεται και πωλείται στη Γερμανία εδώ και πάνω από 20 χρόνια - με άλλους ανταγωνιστές σε αυτόν τον τομέα.

Το προϊόν μας βραβεύτηκε με την 1η θέση - δύο φορές - από το Ινστιτούτο Fraunhofer για λογαριασμό ενός γνωστού περιοδικού υπολογιστών πριν από περισσότερα από 10 χρόνια, έχει επιτύχει αμέτρητες άλλες νίκες σε δοκιμές και πρόσφατα υποβλήθηκε σε ένα αυστηρό pen test από την SySS GmbH, το οποίο πέρασε με την αξιολόγηση "πολύ ασφαλές".

Στο τεύχος 07/2022 της Stiftung Warentest, έχουμε πλέον λάβει γνώση του γεγονότος ότι η Password Depot αξιολογήθηκε μόνο ως "επαρκής" (= D).

Πώς έγινε αυτό;

Στην περίπτωση της τρέχουσας δοκιμής αναφοράς του Stiftung Warentest, αποφασίστηκε ότι ένα προϊόν απαξιώνεται, δηλαδή δεν μπορεί να επιτύχει κάτι περισσότερο από το "Επαρκές" ή το D, εάν επιτρέπει έναν μόνο χαρακτήρα ως κύριο κωδικό πρόσβασης κατά τη δημιουργία νέων βάσεων δεδομένων - δηλαδή ανεξάρτητα από το πόσο καλά ή άσχημα αποδίδει σε όλα τα άλλα κριτήρια δοκιμής.

Αξιολόγηση για Password Depot 16.0.2

Αυτός ήταν ο μόνος λόγος για τη βαθμολογία "Επαρκής" ή D. Το Password Depot επέτρεπε πράγματι κύριους κωδικούς πρόσβασης ενός χαρακτήρα μέχρι την έκδοση 16.0.3 - αλλά μόνο μετά από ρητές προειδοποιήσεις ασφαλείας.

Χωρίς αυτό το χαρακτηριστικό, η Password Depot θα είχε λάβει πολύ πιθανόν βαθμολογία "Καλό" ή Β με βάση τα υπόλοιπα κριτήρια της δοκιμής.

Η επικείμενη υποτίμηση λόγω του κύριου κωδικού πρόσβασης 1 χαρακτήρα μας ανακοινώθηκε εκ των προτέρων από την Stiftung Warentest (Απρίλιος 2022). Ως εκ τούτου, εφαρμόσαμε μια ενημέρωση στις 26.04.22 και έκτοτε επιβάλλεται ένα ελάχιστο μήκος 15 χαρακτήρων κατά τη δημιουργία νέων βάσεων δεδομένων. Επιπλέον, πρέπει να χρησιμοποιούνται τουλάχιστον τρεις από τους τέσσερις τύπους χαρακτήρων (κεφαλαία/μικρά γράμματα, αριθμοί, ειδικοί χαρακτήρες). (Μια σημείωση σχετικά με αυτό το χαρακτηριστικό: Αυτή είναι σίγουρα μια λογική προεπιλεγμένη ρύθμιση για εντελώς άπειρους χρήστες, για την προστασία τους. Ακόμη και αν μπορεί να είναι ενοχλητικό να πρέπει να χρησιμοποιείτε τόσο πολύπλοκους κωδικούς πρόσβασης σε ορισμένες περιπτώσεις, για παράδειγμα κατά τη δοκιμή της εφαρμογής ή τη δημιουργία προσωρινών βάσεων δεδομένων).

Δυστυχώς, αυτή η ενημέρωση δεν λήφθηκε υπόψη από τους ελεγκτές για την τελική αξιολόγηση, παρόλο που είχαμε δημοσιεύσει την ενημέρωση εντός 24 ωρών αφότου ενημερωθήκαμε γι' αυτήν, δηλαδή περίπου 2 μήνες πριν από την έκδοση 07/2022 (βλέπε ενημέρωση στην έκδοση 16.0.3 από 26/04/22).

Ο ανταγωνιστής μας Avira, από την άλλη πλευρά, είχε μια "επικίνδυνη ευπάθεια ασφαλείας", αλλά η διόρθωσή της εξακολουθούσε να λαμβάνεται πολύ σοβαρά υπόψη στη δημοσιευμένη δοκιμή. Δεν είναι απολύτως κατανοητό γιατί αυτό δεν μπορούσε να συμβεί στη δική μας περίπτωση. Κατόπιν περαιτέρω έρευνας, πληροφορηθήκαμε ότι: "Μια ευπάθεια ασφαλείας πρέπει να αξιολογείται διαφορετικά από μια σκόπιμη σχεδιαστική απόφαση".

Τώρα, μπορεί κανείς να υποστηρίξει αν ένας διαχειριστής κωδικών πρόσβασης πρέπει να υποτιμάται αν επιτρέπει έναν μόνο χαρακτήρα ως κύριο κωδικό πρόσβασης παρά τις ρητές προειδοποιήσεις προς τον χρήστη. Ωστόσο, ένα από τα σημαντικότερα κριτήρια, από τη δική μας άποψη, δεν λήφθηκε καθόλου υπόψη κατά τη διάρκεια της δοκιμής:

Για να αξιολογηθεί η ασφάλεια οποιουδήποτε διαχειριστή κωδικών πρόσβασης, θα ήταν τουλάχιστον απαραίτητο να διερευνηθεί ο τρόπος με τον οποίο λειτουργεί με τους κωδικούς πρόσβασης του χρήστη και κατά πόσον αφήνει ίχνη στη μνήμη εργασίας. Ας υποθέσουμε το ακόλουθο σενάριο: Ένας χρήστης εργάζεται με έναν διαχειριστή κωδικών πρόσβασης στο γραφείο. Στη συνέχεια, κλειδώνει τον διαχειριστή κωδικών πρόσβασης και φεύγει από τον χώρο εργασίας του για μικρό χρονικό διάστημα - εμπιστευόμενος ότι όλα είναι εντάξει. Ωστόσο, αν ένας κακόβουλος τρίτος αποκτήσει πρόσβαση στον υπολογιστή του χρήστη για λίγα μόνο λεπτά, μπορεί να διαβάσει τη μνήμη του νικητή της δοκιμής, 1Password, και να αποκτήσει πρόσβαση σε όλους τους κωδικούς πρόσβασης σε απλό κείμενο - χωρίς αυτός ο άτυχος χρήστης να το καταλάβει ποτέ: αυτό είναι ένα σοβαρό ελάττωμα ασφαλείας!

Πολλοί διαχειριστές κωδικών πρόσβασης δεν είναι σε θέση να κρυπτογραφήσουν τα δεδομένα του χρήστη στη μνήμη εργασίας. Στην πραγματικότητα, αυτό αποτελεί μια εξαιρετικά περίπλοκη πρόκληση, καθώς η διαχείριση της μνήμης των Windows μπορεί να χειραγωγηθεί και να ελεγχθεί μόνο σε περιορισμένο βαθμό. Παραδόξως, αυτή η συμπεριφορά δεν οδήγησε σε υποβάθμιση του "νικητή της δοκιμής" 1Password.

Το σκεπτικό της Stiftung Warentest ήταν το εξής:

"Σε ένα σύστημα που έχει ήδη παραβιαστεί, είναι πιθανό να υπάρξουν πολλά σενάρια που θα μπορούσαν να θέσουν σε κίνδυνο την ασφάλεια του χρήστη. Η παραδοχή αυτού του γεγονότος ως βάση για τις δοκιμές καθιστά πρακτικά αδύνατη οποιαδήποτε περαιτέρω δήλωση σχετικά με τη δυνητική ασφάλεια των επιμέρους προϊόντων".

Πρέπει να διαφωνήσουμε έντονα με αυτή την εξωφρενική επιχειρηματολογία. Ειδικά σε συστήματα που είναι εκτεθειμένα σε κίνδυνο, πρέπει να προσπαθούμε να προστατεύουμε κάθε χρήστη με τον καλύτερο δυνατό τρόπο. Διαφορετικά, θα μπορούσαμε κάλλιστα να αποθηκεύουμε τους κωδικούς μας σε φύλλα Excel και πάλι.

Ακόμη και στην περίπτωση ενός τροχαίου ατυχήματος, "είναι πιθανό να υπάρξουν πολλά σενάρια που θα μπορούσαν να θέσουν σε κίνδυνο την ασφάλεια των χρηστών". Γι' αυτόν ακριβώς τον λόγο χρειαζόμαστε αερόσακο, ABS και όλα τα άλλα μέτρα ασφαλείας στα οχήματα. Ακολουθώντας την επιχειρηματολογία των δοκιμαστών του Stiftung Warentest, αυτοί οι μηχανισμοί ασφαλείας δεν θα είχαν νόημα σε περίπτωση ατυχήματος, διότι "το άλογο έχει ήδη βγει από το αμάξι".

Το Password Depot, από την άλλη πλευρά, δεν κρυπτογραφεί μόνο τα δεδομένα στη μνήμη εργασίας. Παρέχει επίσης προστασία από κακόβουλο λογισμικό στον υπολογιστή του χρήστη - κακόβουλο λογισμικό που προσπαθεί να υποδυθεί το πρόσθετο του Password Depot, για παράδειγμα - επιτρέποντας την προστασία με κωδικό πρόσβασης της επικοινωνίας μεταξύ του Password Depot και του πρόσθετου. Ή, για να επιλέξετε ένα άλλο χαρακτηριστικό, μπλοκάρει την πρόσβαση όταν προσπαθεί να αντιγράψει πάρα πολλούς κωδικούς πρόσβασης στο πρόχειρο σε πολύ σύντομο χρονικό διάστημα.

Ελπίζουμε ειλικρινά ότι καταφέραμε να σας γνωστοποιήσουμε γιατί, παρά αυτό το - εκ πρώτης όψεως - ζοφερό αποτέλεσμα των δοκιμών, δεν χρειάζεται να ανησυχείτε για την ασφάλεια των δεδομένων σας στο Password Depot και μπορείτε να συνεχίσετε να εμπιστεύεστε το Password Depot χωρίς περιορισμούς.

ΥΓ: Τα παρακάτω στιγμιότυπα οθόνης δείχνουν πόσο επικίνδυνα εύκολο είναι να διαβάσετε τους κωδικούς σας από τον νικητή του τεστ.

Ένα δείγμα καταχώρησης στο 1Password:

Ein Kennwort in 1Password anlegen

Παρόλο που το πρόγραμμα είναι κλειδωμένο, είναι δυνατή η ανάγνωση τόσο του κωδικού πρόσβασης όσο και του ονόματος χρήστη (βολικά ακόμη και με τις αντίστοιχες ετικέτες "Password" και "Username").

Bei 1Password ist das Kennwort im Klartext im Arbeitsspeicher auslesbar