Ilość haseł do różnych serwisów, które każdy z nas musi pamiętać, szybko przerasta możliwości naszego mózgu. Oczywiście twórcy aplikacji pomyśleli również o tym. Niestety, niektóre z aplikacji nie zapewniają żadnego bezpieczeństwa.
Pracownicy firmy Elcomsoft, specjalizującej się w odzyskiwaniu haseł wszelkiego rodzaju, przeanalizowali grupę popularnych aplikacji do zarządzania hasłami dla iPhone’a oraz Blackberry. Wyniki swojej analizy przedstawili kilka dni temu podczas konferencji Black Hat Europe 2012. Niektóre z ich odkryć są bulwersujące.
Programy, które nie zapewniają żadnego bezpieczeństwa – iPhone
Safe – Password, Awesome Password Lite oraz Password Lock Lite są identyczne (różnią się tylko nazwą). Niestety, identycznie, czyli wcale, nie zabezpieczają też przechowywanych w nich danych. Wszystkie dane trzymają w bazie SQLite (Documents/Password_Keeper.sqlite) niezaszyfrowane. Do tego główne hasło to 4 cyfry, przechowywane otwartym tekstem w tej samej bazie! Paradoksalnie, reklamowane są hasłem „The BEST AND MOST ADVANCED PASSWORD-PROTECTING APP”.
iSecure Lite jest lepszy jedynie o tyle, że umożliwia użycie głównego hasła dowolnej długości. Niestety, tak samo nie szyfruje swojej bazy a główne hasło przechowuje otwartym tekstem. Tak samo działa Secret Folder Lite. Ciekawym przypadkiem jest także Ultimate Password Manager Free, którego autor wprost informuje, że wersja Free nie szyfruje bazy. Nie informuje jednak, że nie szyfruje również głównego hasła.
My Eyes Only™ – Secure Password Manager osiągnął kolejny poziom wtajemniczenia. Wszystkie dane szyfruje algorytmem RSA. Problem tylko w tym, że używa klucza o długości 512 bitów, co sprawia, że na wydajnym obliczeniowo komputerze można to szyfrowanie złamać w ciągu kilku dni. Jakby tego było mało, aplikacja przechowuje prywatny klucz RSA otwartym tekstem, dzięki czemu odzyskanie danych bez znajomości głównego hasła następuje praktycznie natychmiast.
Wyjątkowym przykładem na tej liście jest aplikacja SplashID Safe, z której wg twórców korzysta pół miliona użytkowników. Stosuje ona algorytm Blowfish do szyfrowania danych, jednak kluczem szyfrującym jest główne hasło bez żadnej soli ani dodatkowych iteracji, a samo główne hasło jest zaszyfrowane przy użyciu hasła na stałe wbudowanego w aplikację! Dla ciekawskich, wbudowane hasło brzmi g.;59?^/0n1X*{OQlRwy.
Programy zapewniające pewien poziom bezpieczeństwa – iPhone
Z czego zatem korzystać? Autorzy przytaczają przykłady 3 darmowych aplikacji, dających przyzwoity poziom bezpieczeństwa: Keeper® Password & Data Vault, Password Safe – iPassSafe oraz Strip Lite – Password Manager.Nie są one jednak idealne – pierwsza zapisuje główne hasło w postaci funkcji skrótu MD5 bez soli, przez co jest ono podatne na atak z użyciem tablic tęczowych. Druga używa AESa z kluczem 256 bitów, dającym dobre podstawy do ataku typu brute force, dopiero trzecia używa algorytmu o większym stopniu skomplikowania obliczeniowego (4000*PBKDF2-SHA1 + 1*AES-256). Autorzy wymieniają także 5 aplikacji komercyjnych wartych uwagi, które znajdziecie w tabelce z podsumowaniem poniżej.
Wyjątkowo dobry poziom zabezpieczeń oferuje za to wbudowany mechanizm iPhone’a od wersji 4 – dzięki rozbudowanej iteracji umożliwia przetestowanie jedynie 7 haseł na sekundę. Brak również możliwości łamania hasła offline – wymagany jest dostęp do urządzenia.
Blackberry
Autorzy przeanalizowali dwie aplikacje dostarczane przez producenta urządzenia – BlackBerry Password Keeper oraz BlackBerry Wallet. Obie zostały uznane za oferujące przeciętny poziom bezpieczeństwa. Co prawda dane szyfrują, jednak złożoność obliczeniowa algorytmu nie jest imponująca.
Podsumowanie
Poniżej przedstawiamy tabelkę, opisującą wyniki testów aplikacji, które oferowały przynajmniej średni poziom bezpieczeństwa. Najistotniejsza jest ostatnia kolumna – pokazuje ona, jakiej długości hasło można złamać w ciągu 24h przy obecnym poziomie wiedzy i doświadczenia firmy Elcomsoft.
Wszystkim użytkownikom aplikacji wymienionych w pierwszej części artykułu polecamy albo szybko je zmienić, albo nie spuszczać telefonu z oka… Dla zainteresowanych szczegółami prezentacja Elcomsoftu została również opublikowana w formie pracy naukowej.
Komentarze