Stiftung Warentest ocenia menedżery haseł
W kwietniu 2022 roku dowiedzieliśmy się, że Stiftung Warentest wkrótce przeprowadzi test porównawczy naszego Password Depot - menedżera haseł "Made in Darmstadt", który jest opracowywany i sprzedawany w Niemczech od ponad 20 lat - z innymi konkurentami w tej dziedzinie.
Ponad 10 lat temu nasz produkt został dwukrotnie wyróżniony przez Instytut Fraunhofera w imieniu znanego magazynu komputerowego, osiągnął niezliczoną liczbę innych zwycięstw w testach, a ostatnio został poddany rygorystycznemu testowi piórowemu przez SySS GmbH, który przeszedł z oceną "bardzo bezpieczny".
W wydaniu Stiftung Warentest z 07/2022 r. zwróciliśmy uwagę na fakt, że Password Depot został oceniony tylko jako "wystarczający" (= D).
Jak to się mogło stać?
W przypadku obecnego testu porównawczego Stiftung Warentest zdecydowano, że produkt jest zdewaluowany, tj. nie może uzyskać więcej niż "Wystarczający" lub D, jeśli dopuszcza pojedynczy znak jako hasło główne podczas tworzenia nowych baz danych - tj. niezależnie od tego, jak dobrze lub słabo wypada we wszystkich innych kryteriach testowych.
Był to jedyny powód przyznania oceny "wystarczającej" lub D. Password Depot rzeczywiście zezwalał na jednoznakowe hasła główne do wersji 16.0.3 - ale tylko po wyraźnych ostrzeżeniach dotyczących bezpieczeństwa.
Bez tej funkcji Password Depot najprawdopodobniej otrzymałby ocenę "dobrą" lub B w oparciu o pozostałe kryteria testu.
Stiftung Warentest poinformował nas z wyprzedzeniem o zbliżającej się dewaluacji 1-znakowego hasła głównego (kwiecień 2022 r.). W związku z tym 26.04.22 wprowadziliśmy aktualizację i od tego czasu przy tworzeniu nowych baz danych obowiązuje minimalna długość 15 znaków. Ponadto muszą być używane co najmniej trzy z czterech typów znaków (wielkie/małe litery, cyfry, znaki specjalne). (Proszę zwrócić uwagę na tę funkcję: Jest to z pewnością rozsądne ustawienie domyślne dla zupełnie niedoświadczonych użytkowników, aby ich chronić. Nawet jeśli konieczność używania tak złożonych haseł w niektórych sytuacjach może być irytująca, na przykład podczas testowania aplikacji lub tworzenia tymczasowych baz danych).
Niestety, aktualizacja ta nie została uwzględniona przez testerów w ostatecznej ocenie, mimo że opublikowaliśmy ją w ciągu 24 godzin od otrzymania informacji o niej, tj. około 2 miesiące przed wydaniem 07/2022 (proszę zobaczyć aktualizację do wersji 16.0.3 z 26/04/22).
Z drugiej strony, nasz konkurent Avira miał "niebezpieczną lukę w zabezpieczeniach", ale jej poprawka była nadal bardzo brana pod uwagę w opublikowanym teście. Nie jest do końca zrozumiałe, dlaczego nie mogło się tak stać w naszym przypadku. Po dalszym zapytaniu poinformowano nas, że: "Luka w zabezpieczeniach ma być oceniana inaczej niż celowa decyzja projektowa".
Teraz można się spierać, czy menedżer haseł musi być zdewaluowany, jeśli zezwala na pojedynczy znak jako hasło główne pomimo wyraźnych ostrzeżeń dla użytkownika. Jednak jedno z najważniejszych kryteriów, z naszego punktu widzenia, nie zostało w ogóle wzięte pod uwagę podczas testu:
Aby ocenić bezpieczeństwo dowolnego menedżera haseł, konieczne byłoby przynajmniej zbadanie, w jaki sposób działa on z hasłami użytkownika i czy pozostawia jakiekolwiek ślady w pamięci roboczej. Załóżmy następujący scenariusz: Użytkownik pracuje z menedżerem haseł w biurze. Następnie blokuje swojego menedżera haseł i opuszcza miejsce pracy na krótki czas - ufając, że wszystko jest w porządku. Jeśli jednak złośliwa osoba trzecia uzyska dostęp do komputera użytkownika na zaledwie kilka minut, może odczytać pamięć zwycięzcy testu, 1Password, i uzyskać dostęp do wszystkich haseł w postaci zwykłego tekstu - bez zauważenia tego niefortunnego użytkownika: to poważna luka w zabezpieczeniach!
Wiele menedżerów haseł nie jest w stanie szyfrować danych użytkownika w pamięci roboczej. W rzeczywistości stanowi to bardzo złożone wyzwanie, ponieważ zarządzanie pamięcią w systemie Windows może być manipulowane i kontrolowane tylko w ograniczonym zakresie. Co zaskakujące, zachowanie to nie doprowadziło do obniżenia oceny "zwycięzcy testu" 1Password.
Stiftung Warentest uzasadnił to w następujący sposób:
"W systemie, który został już naruszony, można sobie wyobrazić wiele scenariuszy, które mogą zagrozić bezpieczeństwu użytkownika. Przyjęcie tego za podstawę testów uniemożliwia praktycznie jakiekolwiek dalsze stwierdzenia dotyczące potencjalnego bezpieczeństwa poszczególnych produktów".
Musimy zdecydowanie nie zgodzić się z tą dziwaczną argumentacją. Zwłaszcza w przypadku zagrożonych systemów musimy starać się chronić każdego użytkownika w najlepszy możliwy sposób. W przeciwnym razie równie dobrze możemy ponownie przechowywać nasze hasła w arkuszach kalkulacyjnych Excel.
Nawet w przypadku wypadku samochodowego "można sobie wyobrazić wiele scenariuszy, które mogą zagrozić bezpieczeństwu użytkowników". Właśnie dlatego potrzebujemy poduszek powietrznych i ABS oraz wszystkich innych środków bezpieczeństwa w pojazdach. Zgodnie z argumentacją testerów Stiftung Warentest, te mechanizmy bezpieczeństwa nie miałyby sensu w razie wypadku, ponieważ "koń już uciekł".
Z drugiej strony, Password Depot nie tylko szyfruje dane w pamięci roboczej. Zapewnia również ochronę przed złośliwym oprogramowaniem na komputerze użytkownika - na przykład złośliwym oprogramowaniem, które próbuje podszyć się pod dodatek Password Depot - umożliwiając ochronę hasłem komunikacji między Password Depot a jego dodatkiem. Lub, aby wybrać inną funkcję, blokuje dostęp, gdy próbuje skopiować zbyt wiele haseł do schowka w zbyt krótkim czasie.
Mamy szczerą nadzieję, że udało nam się przekazać Państwu, dlaczego pomimo tego - na pierwszy rzut oka - ponurego wyniku testu, nie muszą się Państwo martwić o bezpieczeństwo swoich danych w Password Depot i mogą nadal ufać Password Depot bez żadnych ograniczeń.
PS: Poniższe zrzuty ekranu pokazują, jak niebezpiecznie łatwo jest odczytać Państwa hasła od zwycięzcy testu.
Przykładowy wpis w 1Password:
Chociaż program jest zablokowany, możliwe jest odczytanie zarówno hasła, jak i nazwy użytkownika (wygodnie nawet z pasującymi etykietami "Hasło" i "Nazwa użytkownika").
