A Stiftung Warentest értékeli a jelszókezelőket
2022. áprilisában tudtuk meg, hogy a Stiftung Warentest hamarosan összehasonlítja a Password Depot - "Made in Darmstadt" jelszókezelőt, amelyet több mint 20 éve fejlesztünk és értékesítünk Németországban - más versenytársakkal ezen a területen.
Termékünk több mint 10 évvel ezelőtt egy ismert számítógépes magazin megbízásából kétszer is elnyerte a Fraunhofer Intézet 1. helyezést, valamint számtalan más győzelmet is aratott, és legutóbb a SySS GmbH szigorú behatolási tesztnek vetette alá, amelyet "nagyon biztonságos" minősítéssel teljesített.
A Stiftung Warentest 07/2022-es számában megjelentek szerint tudomásul vettük, hogy a Password Depot csak "elégséges" (= D) minősítést kapott.
Hogyan történhetett ez?
A Stiftung Warentest jelenlegi benchmark-tesztje esetében úgy döntöttek, hogy egy termék leértékelődik, azaz nem érhet el "Elégséges"-nél vagy D-minősítésnél többet, ha új adatbázisok létrehozásakor egyetlen karaktert is engedélyez főjelszóként - függetlenül attól, hogy az összes többi tesztkritérium tekintetében mennyire teljesít jól vagy rosszul.
Ez volt az egyetlen oka az "Elégséges" vagy "D" minősítésnek. A Password Depot a 16.0.3-as verzióig valóban engedélyezte az egykarakteres főjelszavakat - de csak kifejezett biztonsági figyelmeztetések után.
E funkció nélkül a Password Depot nagy valószínűséggel "Jó" vagy "B" minősítést kapott volna a többi tesztkritérium alapján.
A Stiftung Warentest előre közölte velünk az 1 karakteres mesterjelszó miatti közelgő leértékelést (2022. április). Ennek következtében 22.04.26-án frissítést tettünk közzé, és azóta új adatbázisok létrehozásakor minimum 15 karakteres hosszúságú jelszót kell megadni. Ezen kívül a négy karaktertípusból legalább hármat kell használni (nagy/kisbetűk, számok, különleges karakterek). (Megjegyzés ezzel a funkcióval kapcsolatban: A teljesen tapasztalatlan felhasználók védelme érdekében ez mindenképpen ésszerű alapbeállítás. Még akkor is, ha bizonyos helyzetekben, például az alkalmazás tesztelésekor vagy ideiglenes adatbázisok létrehozásakor bosszantó lehet, hogy ilyen összetett jelszavakat kell használni).
Sajnos ezt a frissítést a tesztelők nem vették figyelembe a végső értékelésnél, bár 24 órán belül közzétettük, miután értesültünk róla, azaz körülbelül 2 hónappal a 07/2022-es kiadás megjelenése előtt (lásd a 16.0.3 verzió frissítését 22.04.26-án).
Versenytársunk, az Avira esetén viszont egy "veszélyes biztonsági rést" találtak, de annak kijavítását a közzétett tesztben nagyon is figyelembe vették. Nem teljesen érthető, hogy ez miért nem történhetett meg a mi esetünkben. További érdeklődésünkre azt a tájékoztatást kaptuk, hogy: "Egy biztonsági sebezhetőséget másképp kell értékelni, mint egy szándékos tervezési döntést".
Lehet vitatkozni azon, hogy egy jelszókezelőt le kell-e értékelni, ha a felhasználó kifejezett figyelmeztetése ellenére egyetlen karaktert engedélyez főjelszóként. A mi szempontunkból az egyik legfontosabb kritériumot azonban egyáltalán nem vették figyelembe a teszt során:
Bármely jelszókezelő biztonságának értékelésénél legalább azt meg kellene vizsgálni, hogy hogyan dolgozik a felhasználó jelszavaival, és hagy-e nyomokat a munkamemóriában. Tegyük fel a következő forgatókönyvet: Egy felhasználó jelszókezelővel dolgozik az irodában. Ezután lezárja jelszókezelőjét, és rövid időre elhagyja a munkahelyét - bízva abban, hogy minden rendben van. Ha azonban egy rosszindulatú harmadik fél csak néhány percre hozzáfér a felhasználó számítógépéhez, akkor kiolvashatja a tesztgyőztes 1Password memóriáját, és hozzáférhet az összes jelszavához egyszerű szövegfájl formájában - anélkül, hogy ez a szerencsétlen felhasználó valaha is észrevenné: ez egy komoly biztonsági hiba!
Sok jelszókezelő nem képes titkosítani a felhasználó munkamemóriában tárolt adatait. Valójában ez rendkívül összetett kihívást jelent, mivel a Windows memóriakezelése csak korlátozottan manipulálható és irányítható. Meglepő módon ez nem vezetett leminősítéshez a "tesztgyőztes" 1Password esetében.
A Stiftung Warentest ezt a következőképpen indokolta:
"Egy már kompromittálódott rendszer esetén számos olyan forgatókönyv elképzelhető, amely veszélyeztetheti a felhasználó biztonságát. Ennek feltételezése a tesztelés alapjául gyakorlatilag lehetetlenné tesz minden további kijelentést az egyes termékek potenciális biztonságáról."
Határozottan nem értünk egyet ezzel a szokatlan érveléssel. Különösen a kompromittált rendszereken kell megpróbálnunk minden felhasználónak a lehető legjobb védelmet nyújtani. Ellenkező esetben a jelszavakat megint Excel-táblázatokban fogjuk tárolni.
Még egy autóbaleset esetén is "számos olyan forgatókönyv elképzelhető, amely veszélyeztetheti a felhasználók biztonságát". Pontosan ezért van szükség a légzsákra, a fészfékre és az összes többi biztonsági intézkedésre a járművekben. A Stiftung Warentest tesztelőinek érvelését követve ezeknek a biztonsági mechanizmusoknak baleset esetén nem lenne értelme, mert "ez a vonat már elment".
A Password Depot viszont nemcsak a munkamemóriában lévő adatokat titkosítja. Védelmet nyújt a felhasználó számítógépén lévő rosszindulatú programok ellen is - például olyanok ellen, amelyek megpróbálják megszemélyesíteni a Password Depot kiegészítőjét -, mivel lehetővé teszi a Password Depot és a kiegészítője közötti kommunikáció jelszóval történő védelmét. Vagy, hogy egy másik funkciót említsünk, blokkolja a hozzáférést, ha túl sok jelszót próbálnak a vágólapra másolni túl rövid idő alatt.
Őszintén reméljük, hogy sikerült elmagyaráznunk, hogy miért nem kell aggódnia a Password Depot-ban tárolt adatai biztonsága miatt, és miért bízhat továbbra is korlátlanul a Password Depot-ban.
Útóirat: Az alábbi képernyőképek azt mutatják, hogy milyen veszélyesen könnyű kiolvasni a jelszavakat a tesztgyőztes programból.
Egy minta bejegyzés az 1Passwordben:
Bár a program le van zárva, a jelszó és a felhasználónév is leolvasható (kényelmesen, akár a "Jelszó" és "Felhasználónév" megfelelő címkékkel megjelölve).
