Vsi upravljalniki gesel ranljivi
Najboljša znana praksa za varno rokovanje z gesli je uporaba upravljalnikov gesel (password managers), ki si za nas izmišljujejo in shranjujejo različna gesla za različne storitve, kot uporabnik pa si moramo zapomniti zgolj eno glavno geslo za dostop. Raziskovalci pri ISE (Independent Security Evaluators) so preverili, ali so upravljalniki gesel varni. Preizkusili so najpopularnejše: 1Password 7, 1Password 4, Dashlane, KeePass in Lastpass. Ugotovitve: vsi so luknjičavi, a še vedno jih je bolje uporabljati kakor ne.
Že uvodoma raziskovalci poudarjajo, da nikakor ne odsvetujejo uporabe upravljalnikov gesel, saj je alternativa – razen za nadljudi – klavrna. Običajno sestoji iz uporabe istega gesla na več različnih straneh ali pisanja gesel na listke papirja. Vseeno pa je koristno vedeti, kje tičijo ranljivosti upravljalnikov gesel; zlasti je to koristno za razvijalce, ki jih lahko zakrpajo.
Večina upravljalnikov gesel je čisto varnih, ko so podatki zašifrirani in niso naloženi v pomnilnik. Situacija pa se zaplete po odklepu, ko upravljalnik gesel zaženemo in vanj bodisi vpišemo glavno geslo ali še ne. V takem primeru se lahko zgodi, da so gesla dostopna v pomnilniku, kar v resnici ni tako redko.
Odkrili so, da noben program ni popolnoma varen. V glavnem imajo vsi probleme s čiščenjem vsebine pomnilnika, ko program zapremo. Po drugi strani so v izklopljenem stanju vsi dovolj varni (po domače: brute force na ugasnjen računalnik ni izvedljiv). Raziskovalci zato razvijalcem svetujejo, da najprej popravijo najočitnejše ranljivosti (čiščenje vsebine pomnilnika), potem pa bo sledil temeljitejši pregled.
