Los administradores de contraseñas son el camino a seguir cuando se trata de mantener seguras las cuentas y la información en prácticamente cualquier sistema. Le permiten crear contraseñas seguras para cualquier servicio, y muchos incluso mejoran el proceso de inicio de sesión al completar automáticamente la información o iniciar sesión automáticamente.
Siempre que el sistema o dispositivo subyacente no se vea comprometido, ofrecen un alto nivel de protección.
Una herramienta de piratería recientemente lanzada destaca que la protección que ofrecen los administradores de contraseñas se anula cuando un sistema se ve comprometido. Si bien ese no es un hallazgo nuevo, la nueva herramienta puede crear conciencia sobre el problema.
KeeFarce es un programa gratuito para Windows que le permite extraer KeePass 2.x información de la memoria. Esto incluye el nombre de usuario, la contraseña y las URL en texto sin cifrar, entre otras cosas. La información se guarda en un archivo csv en la carpeta de datos de la aplicación de Windows automáticamente cuando se ejecuta.
El programa utiliza la inyección de DLL «para ejecutar código dentro del contexto de un proceso KeePass en ejecución». Información adicional sobre el proceso son previsto en la página de GitHub del proyecto.
KeeFarce debe ejecutarse en un sistema informático al que el atacante tenga acceso. Este puede ser un sistema comprometido, por ejemplo, y destaca por qué el problema no se limita al administrador de contraseñas KeePass.
Teniendo en cuenta que se requiere acceso local para el ataque, prácticamente cualquier administrador de contraseñas que se ejecute en el sistema es vulnerable a formas de ataque similares.
El propietario o usuario del sistema debe tener KeePass abierto para que el ataque se lleve a cabo con éxito. No funcionará si la base de datos de contraseñas está bloqueada, ya que KeeFarce no podrá extraer información de ella en este caso.
Dado que la mayoría de los administradores de contraseñas se mantienen abiertos todo el tiempo, se destaca por qué, después de todo, puede que no sea una buena idea.
Entonces, ¿cómo puede proteger sus datos contra esta forma de ataque?
Dado que solo funciona en sistemas comprometidos, asegurarse de que el suyo no esté comprometido es suficiente para proteger sus datos del ataque.
Dado que, en teoría, afecta a todos los administradores de contraseñas que se ejecutan en el sistema, es poco lo que puede hacer al respecto si su sistema se ha visto comprometido.
Me gusta bloquear la base de datos KeePass automáticamente después de un cierto período en el que no se ha utilizado. Si bien esto no evitará que se lleven a cabo ataques remotos contra la base de datos si un sistema se ha visto comprometido, puede ayudar a evitar que otros ejecuten el programa localmente.
Puede habilitar la función en Herramientas> Seguridad> Bloquear el espacio de trabajo después de la inactividad de KeePass.
Palabras de cierre
Un administrador de contraseñas comprometido puede ser un evento catastrófico considerando que pone en juego la presencia en línea de un usuario. Una cuenta podría usar los datos para hacerse cargo de la vida en línea de un usuario, y sería necesario un gran esfuerzo por parte del usuario para recuperar nuevamente el control de las cuentas robadas.
Un sistema comprometido sin administradores de contraseñas no es mejor si se considera que los registradores de pulsaciones de teclas y otro software malicioso también pueden obtener contraseñas e información del sistema. (vía Ars Technica)