La Stiftung Warentest valuta i gestori di password

Nell'aprile del 2022, abbiamo appreso che Stiftung Warentest avrebbe presto effettuato un benchmark del nostro Password Depot - un password manager "Made in Darmstadt", che è stato sviluppato e venduto in Germania per oltre 20 anni - rispetto ad altri concorrenti in questo campo.

Il nostro prodotto è stato premiato al 1° posto - due volte - dall'Istituto Fraunhofer per conto di una nota rivista di informatica più di 10 anni fa, ha ottenuto innumerevoli altre vittorie nei test e recentemente è stato sottoposto a un rigoroso pen-test da parte di SySS GmbH, che ha superato con la valutazione "molto sicuro".

Nel numero 07/2022 di Stiftung Warentest, abbiamo preso nota del fatto che Password Depot è stato valutato solo "Sufficiente" (= D).

Come è potuto accadere?

Nel caso dell'attuale test di benchmark di Stiftung Warentest, è stato deciso che un prodotto viene svalutato, cioè non può ottenere più di "Sufficiente" o D, se consente un solo carattere come password principale quando si creano nuovi database - cioè a prescindere da quanto bene o male si comporti in tutti gli altri criteri del test.

Valutazione per Password Depot 16.0.2

Questa era l'unica ragione per la valutazione "Sufficiente" o D. Password Depot consentiva effettivamente master password di un solo carattere fino alla versione 16.0.3 - ma solo dopo espliciti avvertimenti di sicurezza.

Senza questa caratteristica, Password Depot avrebbe molto probabilmente ricevuto una valutazione "Buona" o B in base ai restanti criteri del test.

L'imminente svalutazione dovuta alla master password di 1 carattere ci è stata comunicata da Stiftung Warentest in anticipo (aprile 2022). Di conseguenza, abbiamo implementato un aggiornamento il 26.04.22 e da allora, durante la creazione di nuovi database, viene applicata una lunghezza minima di 15 caratteri. Inoltre, devono essere utilizzati almeno tre dei quattro tipi di carattere (lettere maiuscole/minuscole, numeri, caratteri speciali). (Una nota su questa funzione: Questa è certamente un'impostazione predefinita sensata per gli utenti completamente inesperti, per proteggerli. Anche se potrebbe essere fastidioso dover utilizzare password così complesse in determinate situazioni, ad esempio quando testa l'applicazione o crea database temporanei).

Purtroppo, questo aggiornamento non è stato preso in considerazione dai tester per la valutazione finale, sebbene avessimo pubblicato l'aggiornamento entro 24 ore da quando ne eravamo stati informati, cioè circa 2 mesi prima del rilascio del numero 07/2022 (vedere l'aggiornamento alla versione 16.0.3 del 26/04/22).

Il nostro concorrente Avira, invece, presentava una "pericolosa vulnerabilità di sicurezza", ma la sua correzione è stata comunque presa in considerazione nel test pubblicato. Non è del tutto comprensibile perché ciò non sia avvenuto nel nostro caso. Dopo aver chiesto ulteriori informazioni, siamo stati informati che: "Una vulnerabilità di sicurezza deve essere valutata in modo diverso rispetto a una decisione di progettazione deliberata".

Ora, si può discutere se un gestore di password debba essere svalutato se permette un singolo carattere come password principale, nonostante gli avvertimenti espliciti all'utente. Tuttavia, uno dei criteri più importanti, dal nostro punto di vista, non è stato affatto considerato durante il test:

Per valutare la sicurezza di qualsiasi password manager, sarebbe almeno necessario indagare su come opera con le password dell'utente e se lascia tracce nella memoria di lavoro. Ipotizziamo il seguente scenario: Un utente lavora con un password manager in ufficio. Successivamente, blocca il suo password manager e lascia il posto di lavoro per un breve periodo - confidando che tutto vada bene. Tuttavia, se una terza parte malintenzionata accede al PC dell'utente per pochi minuti, può leggere la memoria del vincitore del test, 1Password, e accedere a tutte le sue password in chiaro - senza che questo sfortunato utente se ne accorga: è una grave falla nella sicurezza!

Molti gestori di password non sono in grado di criptare i dati dell'utente nella memoria di lavoro. In effetti, questo rappresenta una sfida molto complessa, poiché la gestione della memoria di Windows può essere manipolata e controllata solo in misura limitata. Sorprendentemente, questo comportamento non ha comportato un downgrade per il "vincitore del test" 1Password.

Il ragionamento della Stiftung Warentest è stato il seguente:

"Su un sistema già compromesso, sono ipotizzabili molti scenari che potrebbero mettere in pericolo la sicurezza dell'utente. Assumere questo come base per i test rende praticamente impossibile qualsiasi ulteriore dichiarazione sulla sicurezza potenziale dei singoli prodotti".

Dobbiamo dissentire fortemente da questa argomentazione stravagante. Soprattutto nei sistemi compromessi, dobbiamo cercare di proteggere ogni utente nel miglior modo possibile. Altrimenti, tanto vale memorizzare di nuovo le nostre password in fogli di calcolo Excel.

Anche nel caso di un incidente stradale, "sono ipotizzabili molti scenari che potrebbero mettere in pericolo la sicurezza degli utenti". È proprio per questo che abbiamo bisogno di un airbag, dell'ABS e di tutte le altre misure di sicurezza nei veicoli. Secondo l'argomentazione dei tester di Stiftung Warentest, questi meccanismi di sicurezza non avrebbero senso in caso di incidente, perché "il cavallo è già scappato".

Password Depot, invece, non solo cripta i dati nella memoria di lavoro. Fornisce anche una protezione contro il malware sul PC dell'utente - malware che tenta di impersonare l'addon di Password Depot, per esempio - consentendo la comunicazione tra Password Depot e il suo addon come protetta da password. Oppure, per scegliere un'altra funzione, blocca l'accesso quando si cerca di copiare un numero eccessivo di password negli appunti in un lasso di tempo troppo breve.

Ci auguriamo sinceramente di essere riusciti a comunicarle perché, nonostante questo - a prima vista - sconfortante risultato del test, non deve preoccuparsi della sicurezza dei suoi dati in Password Depot e può continuare a fidarsi di Password Depot senza alcuna restrizione.

PS: Gli screenshot qui sotto dimostrano quanto sia pericolosamente facile leggere le sue password dal vincitore del test.

Una voce di esempio in 1Password:

Un messaggio in 1Password per la gestione delle password

Anche se il programma è bloccato, è possibile leggere sia la password che il nome utente (comodamente anche con le etichette corrispondenti "Password" e "Nome utente").

Con 1Password la parola chiave nel testo del lavoro è auslesbar.