Pesquisadores descobriram uma surpreendente fraqueza de segurança em gerenciadores de senhas – vários produtos populares parecem fazer um trabalho fraco na limpeza de senhas da memória, uma vez que não estão mais sendo usadas.

Uma análise realizada pelo Independent Security Evaluators (ISE) revelou o problema em diferentes graus nas versões do 1Password, Dashlane, LastPass e KeePass.

A boa notícia é que todos os gerenciadores compilaram senhas com segurança quando o software não estava sendo executado, incluindo a senha mestra, que estavam no banco de dados em um estado criptografado.

No entanto, as coisas pioraram um pouco quando o ISE observou como esses produtos protegem senhas tanto no estado bloqueado (em execução antes de digitar a senha mestra ou em execução após o logout) quanto no estado totalmente desbloqueado (após inserir a senha mestra). Em vez de generalizar, é melhor descrever os problemas de cada produto.

1Password4 for Windows (v4.6.2.626)

Essa versão herdada mantém uma versão ofuscada da senha mestra na memória, que não é depurada ao retornar a um estado bloqueado. Sob certas condições, uma versão de texto não criptografado vulnerável é deixada na memória.

1Password7 for Windows (v7.2.576)

Apesar de ser a versão atual, os pesquisadores classificaram como menos segura do que 1Password4 porque descriptografa e armazena em cache todas as senhas do banco de dados ao invés de uma por vez. 1Password7 também falha ao eliminar senhas da memória, incluindo a senha mestra, ao se mover para um estado bloqueado. Isso compromete a eficácia do botão de bloqueio, exigindo que o usuário saia completamente do programa.

Dashlane for Windows (v6.1843.0)

Aloca apenas uma senha por vez na memória até que um usuário atualize uma entrada, ponto no qual o banco de dados inteiro é exposto em texto sem formatação. Isso permanece constante, até mesmo quando o usuário bloqueia o banco de dados.

KeePass Password Safe (v2.40)

As entradas do banco de dados não são limpas da memória após cada uma ser usada, embora a senha mestra, felizmente, não seja recuperável.

LastPass for Applications (v4.1.59)

As entradas do banco de dados permanecem na memória mesmo quando o aplicativo está bloqueado. Além disso, ao derivar a chave de descriptografia, a senha mestra é “vazada em um buffer de seqüência de caracteres” onde não é apagada, mesmo quando o aplicativo está bloqueado (observação: esta versão é usada para gerenciar senhas de aplicativos e é diferente do plug-in da web) .

Claramente, se as senhas – especialmente as senhas mestras – estão na memória quando o aplicativo está bloqueado, isso aumenta a possibilidade de que o malware possa roubar esses dados depois de infectar um computador.

O contra-argumento é que, se o malware infectar seu computador, praticamente tudo nesse sistema estará em risco, seja ele ofuscado na memória ou não. Nenhum aplicativo de segurança pode garantir a defesa contra esse tipo de ameaça.

Quem se responsabiliza?

Alguns dos fornecedores afetados defenderam publicamente seus produtos, alegando que os problemas descobertos pelos pesquisadores são parte de complexas trocas de design.

O LastPass também afirmou que havia curado os problemas encontrados em seu produto e apontou que um invasor ainda exigiria acesso privilegiado ao computador de um usuário.

Este é o fim dos gerenciadores de senhas?

Em suma, não. Nosso conselho é continuar usando gerenciadores de senhas, porque os problemas encontrados ainda são fortemente superados pelas vantagens conhecidas de usar um e provavelmente serão arrumados através de atualizações de qualquer maneira.

O que importa é que os pesquisadores estimulem esses produtos por fraquezas e que os fornecedores façam tudo o que puderem para corrigi-los o mais rápido possível. Em caso de dúvida, uma ideia é desligar (ou seja, fechar) um gerenciador de senhas quando ele não estiver sendo usado. E, claro, não se esqueça de usar a autenticação de dois fatores sempre que puder. Dessa forma, mesmo que alguém tenha sua senha, ela ainda não poderá fazer login como você.

Leia também: Matrix, o que um ransomware de nicho pode nos ensinar?