Dashlaneのセキュリティ分析
ユーザーから、Dashlaneパスワードマネージャーの使用を推奨するかどうかを尋ねられました。 XSSやCSRF(下記を参照)など、他のパスワードマネージャーでセキュリティ上の重大な問題が発生していることは知っています。 Dashlaneパスワードマネージャーはこれらの問題に対して脆弱ですか?誰かが独立したセキュリティ分析を行って、それらの問題を共有しているかどうかを確認しましたか?
たとえば、次の公開されたリサーチペーパーでは、人気のある5つのパスワードマネージャー(LastPass、RoboForm、My1login、Passwordbox、NeedMyPassword)のセキュリティを分析し、5つのうち4つにセキュリティの脆弱性を発見しました。
- 皇帝の新しいパスワードマネージャー:Webベースのパスワードマネージャーのセキュリティ分析 。 Zhiwei Li、Warren He、Devdatta Akhawe、Dawn Song。 Usenix Security Symposium、2014年。
脆弱性は、ガーデンバラエティのXSSやCSRFの脆弱性から、ブックマークレットの悪用に基づく不明瞭な攻撃や、悪意のあるJavascriptと一緒にコンテキストで実行される可能性があるという事実にまで及びました。
しかし、その論文はDashlaneパスワードマネージャーを分析していませんでした。おそらくそれが注目を集め始め、大きな市場シェアを獲得し始めたばかりのせいかもしれません。
Dashlaneパスワードマネージャーの公に利用可能なセキュリティ分析はありますか?たとえば、この種の脆弱性に対して脆弱であるかどうかを評価するために、またはユーザーが安全であると信頼する必要があるかどうかをユーザーが判断するのに役立つ他のリソースまたはガイダンスはありますか?
2016年5月にセキュリティ分析が行われました。
その分析は、質問で引用された Li et al。の論文 とほぼ同じタイプの脆弱性を探すことを試みます。彼らはXSS攻撃を探しましたが、何も見つかりませんでした。また、Dashlaneのデバイス認証機能をバイパスすることもできました。全体的に、彼らはDashlaneが非常に安全であるとわかりました。
彼らはDashlaneバージョン4.1.1を分析しました。 Dashlaneはバージョン4.6.8に更新されています。
管理外のオンラインサーバーにパスワードを保存するものはすべて安全ではないと見なされます。パスワードコレクション全体がホームネットワークを離れる正当な理由はありません。
オンラインパスワードマネージャーサービス(Dashlaneにのみ適用されるわけではありません)が使用するソフトウェアは、おそらくクローズドソースであり、セキュリティ手順についても、パスワードが実際に暗号化されているか、単にpasswords.txtファイル。
次に、暗号化-欠陥のない業界標準の暗号を使用し、ブルートフォースを防止するために計算コストの高いハッシュでパスワードをハッシュ化するとします...しかし、悪意のあるシステム管理者、開発者、または攻撃者がサーバーにアクセスした場合はどうなるでしょうか。彼はデータベースを直接復号化することはできませんが、ログインを処理するコードを変更してパスワードを取得し、ログインするのを待つことができます。また、注目を浴びる標的にならず、攻撃者が妥協して時間を浪費することはありません。あなた、しかしここでは、攻撃者は代わりに、パスワードマネージャーサービス全体を危険にさらして、あなただけでなく、すべてのユーザーのパスを取得しようとします。
次に、法執行機関があり、ほとんどの場合、会社にパスワードの開示を強制することができます。データベースが暗号化されている場合、データベースはおそらく上記のアプローチを使用して、ログインするまで待機します。ほとんどのオンラインサービスのパスワードは、法執行機関がデータを強制的に開示する可能性があるため、あまり価値がありませんが、サービスのパスワードは他の国(LAに権限がない国)またはサーバー/暗号化ドライブは、それらにとって非常に価値があります。
次に、暗号化されている可能性のあるハードドライブにローカルに保存されているKeepassデータベースと比較します。攻撃者は、物理的にマシンを盗み(そして最終的なディスク暗号化とデータベースのパスワードをブルートフォース)、変更します(キーロガーを追加して、ログが記録されるのを待ちます)パスDBを復号化する)、またはリモートで侵害することは、注目度の高いターゲットではなく、多くの場合困難である場合、彼の時間に値しません。