Onderzoekers van de Berkeley-universiteit hebben kwetsbaarheden in meerdere wachtwoordmanagers gevonden, waaronder het populaire LastPass. In het geval van LastPass was de bookmarklet kwetsbaar; malafide websites konden alle wachtwoorden ontsleutelen.
De onderzoekers hebben hun bevindingen nu pas gepubliceerd, al gaat het om kwetsbaarheden die al in de zomer van vorig jaar zijn ontdekt en voor het overgrote deel destijds al zijn opgelost. De onderzoekers namen vijf wachtwoord-managers onder de loep, waaronder LastPass, maar ook My1login en RoboForm.
Opvallend is dat een van de onderzochte wachtwoord-managers, NeedMyPassword, nooit heeft gereageerd op de bevindingen van de onderzoekers en dus nog steeds kwetsbaar is. De overige bedrijven reageerden binnen een week op mails van de onderzoekers en hebben de meeste beveiligingsproblemen inmiddels opgelost.
Een van de ernstigste problemen bevond zich de bookmarklet in het populaire LastPass. Bookmarklets zijn gewone bookmarks die in plaats van een url javascript bevatten, die wordt uitgevoerd op de website waar de gebruiker zich op dat moment bevindt. Drie van de wachtwoord-managers gebruiken bookmarklets om het automatisch invullen van gebruikersnamen en wachtwoorden mogelijk te maken in browsers waarvoor ze geen extensie hebben, bijvoorbeeld Safari op iOS, dat geen extensies ondersteunt. Alle drie de bookmarklets waren echter kwetsbaar.
In het geval van LastPass kon de bookmarklet eenvoudig worden misbruikt door de website waarop een gebruiker de bookmarklet gebruikte. De website kan de sleutels die worden gebruikt om de wachtwoorden te beschermen uitlezen en vervolgens de hele wachtwoord-database van de gebruiker uitlezen. RoboForm en My1login hadden vergelijkbare kwetsbaarheden.
Bijna alle wachtwoordmanagers waren kwetsbaar voor misbruik van hun websites, bijvoorbeeld voor cross site request forgery. Daarbij wordt vanaf een andere website een http-request naar de wachtwoord-manager gedaan, die door de wachtwoord-manager wordt geïnterpreteerd als een opdracht van de gebruiker. In het geval van LastPass konden daarbij de url's van websites waarvoor wachtwoorden zijn opgeslagen worden uitgelezen, evenals versleutelde wachtwoorden.
De onderzoekers benadrukken dat wachtwoord-managers in potentie nuttig kunnen zijn, maar dat ze in de praktijk er juist voor kunnen zorgen dat gebruikers onveiliger worden: de tools zijn immers een single point of failure. Als een gebruiker toegang krijgt tot een wachtwoord-manager, heeft hij meteen toegang tot alle wachtwoorden, waardoor de impact groter is.