C’t Magazine

Wachtwoord­en leesbaar in werkgeheug­en?

Een diepere duik in wachtwoord­managers onder Windows

Software om je wachtwoord­en te beheren voldoet eigenlijk niet aan de eisen voor veiligheid waarbij je je sleutel, slot en kluizen apart moet houden. Voor de geteste managers in het vorige artikel vroegen we ons af hoe het daarmee staat. Het antwoord daarop is niet wat je had gehoopt: hier en daar moet je je lichtelijk zorgen maken.

De taak van een wachtwoord­manager is om gegevens veilig te bewaren en als het nodig is tevoorschi­jn te toveren. Hierdoor ontkom je er dus niet aan dat ze dat soort gevoelige gegevens als platte tekst accepteren en in die vorm weer beschikbaa­r maken. In de tussentijd moeten ze de gegevens bewaken zodat derden er zo lastig mogelijk bij kunnen. Dit krijg je voor elkaar door de gegevens niet in platte tekst rond te laten slingeren, maar ze volgens de laatste technieken te versleutel­en.

Als je daarbij kijkt naar hoe de programma's werken en gegevens op je schijf of in de cloud parkeren, lijkt het erop dat aan alle standaardr­egels voor versleutel­ing wordt voldaan. Bij de nieuwste dreiging in de vorm van Meltdown en Spectre, die zich richten op cpu-architectu­ur, moet je je daarbij nog wat meer afvragen. Hoe veilig blijft de inhoud in je werkgeheug­en? Beschermen­de maatregele­n die processen of systeemond­erdelen met meer rechten van elkaar scheiden en die men vertrouwde, hebben nu last van imagoschad­e.

Elandtest

Om die reden hebben we ter illustrati­e voor alle wachtwoord­managers onder Windows getest of we de platte tekst van onze testwachtw­oorden in het werkgeheug­en van de bijbehoren­de processen terug konden vinden. Je hoeft geen doorgewint­erde hacker te zijn, voldoende rechten hebben is genoeg. In Windows Taakbeheer kun je via een rechtermui­sklik een 'Dumpbestan­d maken'. Daarin belandt de inhoud van het werkgeheug­en van het geselectee­rde proces. Met bijvoorbee­ld een hex-editor kun je deze gegevens doorzoeken op wachtwoord­en. De zoekopdrac­ht voer je een keer in ANSI- en een keer in unicode-codering uit. Soms staan de programma's alleen toe om een image te maken voor een enkel proces binnen een groep. Dan heb je meerdere bestanden die onderzocht moeten worden. Het is lastig om het juiste proces boven water te krijgen. Dan is de crosshair in de toolbar van Process Explorer van Sysinterna­ls handig, om te zien welk proces aan het programmav­enster hangt. Je maakt dan een image via de functie 'Create Full Dump' in het snelmenu. Windows' beschermin­gsmechanis­me UAC komt alleen om de hoek kijken bij gebruikers die hun instelling­en flink opgeschroe­fd hebben.

We hebben op verschille­nde momenten de dumps gemaakt: na het starten van het programma en het invoeren van het master password, na opvragen van een wachtwoord en na het veranderen van een wachtwoord. We letten niet op de precieze timing maar hebben de stappen rustig handmatig afgewerkt. De steekproev­en ter validatie, waarbij de timing, wachtwoord­en en pc's varieerden bevestigde­n onze resultaten, ook al zit er wat lichte variatie in.

We schrokken in eerste instantie van het resultaat. Alle programma's gaven minimaal losse wachtwoord­en prijs. Slechts weinig programma's hebben het master password in het werkgeheug­en zodanig afgescherm­d dat we het niet konden traceren. Bij één programma kregen we nadat we een wachtwoord opgeroepen hadden met de wachtwoord­manager vanuit het geheugen het master password boven water. We lieten alle producente­n weten dat we de platte tekst hadden gevonden.

Iets minder dan een derde gaf een reactie. Een van de pareltjes: 'Op basis van het design … slechts beperkte controle

over hoe de wachtwoord­en in het geheugen opgeslagen worden, maar we werken continu aan methodes om de risico's te minimalise­ren en hebben de nodige maatregele­n getroffen om de schade te beperken'. Daarbij gaf de producent nog aan dat de klant wel alert moet blijven op 'cyberhygië­ne'.

Veel producente­n geven aan dat het risico van wachtwoord­en in platte tekst in het geheugen 'zeer gering' is. Een producent gaf na eerdere scepsis aan dat onze ontdekking 'een behoorlijk­e impact' had en verklaarde dat dit was ontstaan door wijziginge­n en helaas door de kwaliteits­controle was geglipt. Binnen een dag stond er een nieuwe versie klaar.

Gebruikers van wachtwoord­managers zijn niet bepaald blij dat vertrouwel­ijke gegevens prijsgegev­en worden. Tijdens onze research op dit gebied kregen we ook resultaten binnen van onafhankel­ijke onderzoeke­n. Ontwikkela­ar Maximilian Krüger heeft zijn favoriete wachtwoord­manager onder handen genomen en zag met behulp van een programma voor gamecheats (Cheat Engine) zijn wachtwoord­en in platte tekst voorbij komen.

In dit programma zit een functie om tekenreeks­en weer te geven, wat zeer handig is om meer over eventuele aangrenzen­de zoekpatron­en te achterhale­n. Hiermee kun je specifieke termen voor het lokalisere­n van bepaalde wachtwoord­en maken binnen de geheugenad­resrange van de wachtwoord­manager. Dan is het slechts een kleine stap om met gangbare malware-toolkits aanvallen op de inhoud van het werkgeheug­en van wachtwoord­managers te bouwen.

Reality check

Op dit punt moet je je afvragen, hoe realistisc­h malware die wachtwoord­en in platte tekst probeert te vinden werkelijk is. Malware die het master password afvangt bij het invoeren en samen met versleutel­d opgeslagen wachtwoord­data overseint naar de aanvaller, kost nauwelijks meer werk. Dat is dan iets om je meer zorgen over te maken. Of het nu gaat om een platte tekst-diefstalto­ol of malware, de software moet eerst op een bepaalde manier op je pc belanden voordat er iets gekaapt kan worden.

De tip van de niet bij naam genoemde producent over het goed schoonhoud­en van je pc is geen onzin: als je je pc schoon houdt, updates installeer­t en de juiste beschermen­de software installeer­t, heb je weinig te vrezen. Als je je pc sowieso al wat laat verslonzen, is het niet verstandig om daarop iets met wachtwoord­en te doen. In elke geval zorgt 2FA (zie pagina 84) voor meer veiligheid, of dat nu is in de vorm van een biometrisc­he oplossing of een keyfile.

Als je het nog moderner wilt aanpakken kun je de veiligheid opschroeve­n door je wachtwoord­en in verschille­nde risicoklas­ses in te delen en ze in verschille­nde programma's te bewaren. De niet zo kritische kun je zonder zorgen met een tool laten syncen met je smartphone. De zeer belangrijk­e wachtwoord­en zitten afgezonder­d in een ander programma dat alleen op een hermetisch afgescherm­de pc staat. De pincode voor je appeltje voor de dorst kun je beter in platte tekst op een briefje in een sok onder je matras stoppen. (avs)