Connectez-vous avec nous

Internet

Les chercheurs révèlent les vulnérabilités des gestionnaires de mots de passe

Crédits: CC0 Public Domain

Certains gestionnaires de mots de passe commerciaux peuvent être vulnérables aux cyber-attaques de fausses applications, selon de nouvelles recherches.

Les experts en sécurité recommandent d'utiliser un mot de passe complexe, aléatoire et unique pour chaque compte en ligne, mais se souvenir de tous serait une tâche difficile. C'est là que les gestionnaires de mots de passe sont utiles.

Les coffres-forts chiffrés accessibles par un seul mot de passe maître ou PIN, ils stockent et remplissent automatiquement les informations d'identification pour l'utilisateur et sont fortement recommandés par le National Cyber ​​Security Center du Royaume-Uni.

Cependant, des chercheurs de l'Université de York ont ​​montré que certains gestionnaires de mots de passe commerciaux n'étaient peut-être pas un moyen étanche d'assurer la cybersécurité.

Après avoir créé une application malveillante pour usurper l'identité d'une application Google légitime, ils ont réussi à duper deux des cinq gestionnaires de mots de passe qu'ils ont testés pour qu'ils donnent un mot de passe.

L'équipe de recherche a constaté que certains des gestionnaires de mots de passe utilisaient des critères faibles pour identifier une application et quel nom d'utilisateur et mot de passe suggérer pour le remplissage automatique. Cette faiblesse a permis aux chercheurs d'usurper l'identité d'une application légitime simplement en créant une application malveillante avec un nom identique.

L'auteur principal de l'étude, le Dr Siamak Shahandashti, du Département d'informatique de l'Université de York, a déclaré: «Les vulnérabilités des gestionnaires de mots de passe offrent aux pirates des possibilités d'extraire des informations d'identification, de compromettre les informations commerciales ou de violer les informations des employés. beaucoup d'informations sensibles, une analyse de sécurité rigoureuse des gestionnaires de mots de passe est cruciale.

"Notre étude montre qu'une attaque de phishing à partir d'une application malveillante est hautement réalisable. Si une victime est amenée à installer une application malveillante, elle pourra se présenter comme une option légitime sur l'invite de remplissage automatique et aura de grandes chances de succès."

"À la lumière des vulnérabilités de certains gestionnaires de mots de passe commerciaux que notre étude a mis en évidence, nous suggérons qu'ils doivent appliquer des critères de correspondance plus stricts qui ne reposent pas uniquement sur le prétendu nom de package d'une application"

Les chercheurs ont également découvert que certains gestionnaires de mots de passe n'avaient pas de limite sur le nombre de fois qu'un code PIN ou un mot de passe principal pouvait être entré. Cela signifie que si les pirates avaient accès à l'appareil d'un individu, ils pouvaient lancer une attaque "par force brute", en devinant un code PIN à quatre chiffres en environ 2,5 heures.

En plus de ces nouvelles vulnérabilités, les chercheurs ont également dressé une liste des vulnérabilités précédemment révélées identifiées dans une étude précédente et testé si elles avaient été résolues. Ils ont constaté que si les problèmes les plus graves avaient été résolus, beaucoup n'avaient pas été résolus.

Les chercheurs ont divulgué ces vulnérabilités aux gestionnaires de mots de passe.

L'auteur principal de l'étude, Michael Carr, qui a effectué la recherche tout en étudiant pour sa maîtrise en cybersécurité au Département d'informatique de l'Université de York, a déclaré: "De nouvelles vulnérabilités ont été découvertes grâce à des tests approfondis et divulguées de manière responsable aux fournisseurs. Certains ont été corrigés immédiatement tandis que d'autres ont été jugés de faible priorité.

"Des recherches supplémentaires sont nécessaires pour développer des modèles de sécurité rigoureux pour les gestionnaires de mots de passe, mais nous conseillons toujours aux particuliers et aux entreprises de les utiliser car ils restent une option plus sécurisée et utilisable. Bien que ce ne soit pas impossible, les pirates informatiques devraient lancer une attaque assez sophistiquée pour accéder aux informations qu'ils stockent. "

Revisiter les vulnérabilités de sécurité dans les gestionnaires de mots de passe commerciaux sera présenté à la 35e conférence internationale sur la sécurité des systèmes TIC et la protection de la vie privée (IFIP SEC 2020) en septembre 2020.


Les pirates informatiques s'introduisent dans le gestionnaire de mots de passe centralisé OneLogin


Fourni par
                                                                                                    Université de York


Citation:
                                                 Des chercheurs révèlent les vulnérabilités des gestionnaires de mots de passe (2020, 16 mars)
                                                 récupéré le 17 mars 2020
                                                 depuis https://techxplore.com/news/2020-03-expose-vulnerabilities-password.html

Ce document est soumis au droit d'auteur. Hormis toute utilisation équitable aux fins d'études ou de recherches privées, aucun
                                            une partie peut être reproduite sans autorisation écrite. Le contenu est fourni seulement pour information.

Les offres de produits Hi-tech en rapport avec cet article

Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Smartphones et Tablettes57 minutes ago

Samsung honore l’héritage du Note avec le S22 Ultra, c’est une bonne chose.

Gadgets5 heures ago

Le déni du changement climatique sur Facebook, YouTube, Twitter et TikTok est « plus grave que jamais ».

Smartphones et Tablettes5 heures ago

VIDEO : Mobiistar C1 Shine Unboxing &amp ; Review | Nouveau Smartphone

Ordinateurs et informatique23 heures ago

Le GPU phare d’Intel Arc Alchemist pourrait correspondre à Nvidia RTX 3070 Ti

Smartphones et Tablettes23 heures ago

Les photos des composants du Samsung Galaxy A53 5G confirment quatre caméras arrière, un selfie

Ordinateurs et informatique24 heures ago

Toute la gamme Samsung Galaxy Tab S8 vient de fuir sur Amazon

Ordinateurs et informatique1 jour ago

Steam Deck fonctionne « parfaitement » sur près de la moitié des jeux PC testés jusqu’à présent

Internet1 jour ago

Comment activer la navigation privée dans Chrome, Safari, Firefox et Edge

Musique et Audio1 jour ago

Besoin d’une barre de son pas chère ? Alors ne manquez pas cette offre Bose Solo 5

Smartphones et Tablettes1 jour ago

Comment sécuriser vos mots de passe

Ordinateurs et informatique1 jour ago

Comment sécuriser votre maison intelligente

Smartphones et Tablettes1 jour ago

Apple redevient le plus grand vendeur de smartphones au monde

Musique et Audio1 jour ago

Les tout nouveaux AirPods Pro sont réduits à seulement 325 AU $ sur Amazon AU

Ordinateurs et informatique1 jour ago

Meilleure souris de jeu sans fil | Tech Radar

Smartphones et Tablettes1 jour ago

Le Samsung Galaxy A22e 5G obtient la certification Bluetooth

Smartphones et Tablettes2 semaines ago

Test du Samsung Galaxy S21 FE : Verdict anticipé

Smartphones et Tablettes2 semaines ago

Sony détaille la mise à jour Android 12 alors que Xperia 1 III et Xperia 5 III commencent à être déployés

Ordinateurs et informatique4 semaines ago

WP Engine s’empare de Frost, le rend gratuit pour tous

Smartphones et Tablettes2 semaines ago

Le Samsung Galaxy A52s 5G est le dernier modèle à recevoir la mise à jour Android 12 avec One UI 4

Ordinateurs et informatique2 semaines ago

Le processeur AMD Ryzen 7 5800X3D pourrait être en pénurie lors de son lancement

Ordinateurs et informatique3 semaines ago

Shutterfly touché par l’attaque du ransomware Conti

Internet4 semaines ago

La Russie inflige une amende à Google et Meta enregistre 125 millions de dollars pour du contenu interdit

Ordinateurs et informatique4 semaines ago

La RAM DDR5 sera probablement assez chère pendant un certain temps

Smartphones et Tablettes4 semaines ago

Le chargeur USB-C Anker 547 fournit jusqu’à 120 W de puissance tout en vous enseignant les mathématiques

Ordinateurs et informatique4 semaines ago

À quoi s’attendre de Nvidia en 2022

Ordinateurs et informatique3 semaines ago

Que pouvons-nous attendre du casque AR/VR d’Apple en 2022 ?

Smartphones et Tablettes4 semaines ago

VIDEO : UP DÉBALLAGE DU SMARTPHONE | YOGI MOBILE PHONE UNBOXING | YOGI UP GRATUIT SMART PHONE YOJANA UNBOXING REVUE

Smartphones et Tablettes2 semaines ago

Le Samsung Galaxy S21 FE 5G sera lancé en Inde le 10 janvier

Smartphones et Tablettes4 semaines ago

VIDEO : UP Free📱Tablet Unboxing & Full Review || UP Tablette gratuite smartphone deuxième liste || Ballia 2e liste

Smartphones et Tablettes2 semaines ago

Samsung Galaxy S21 FE vs Galaxy S21 : quelle différence ?

ARTICLES POPULAIRES