Independent Security Evaluators (ISE) บริษัทวิจัยความมั่นคงปลอดภัยซอฟต์แวร์ รายงานถึงการสำรวจความปลอดภัยของโปรแกรมจัดการรหัสผ่านยอดนิยม 4 ตัวหลัก ได้แก่ 1Password, Dashlane, KeePass, และ LastPass พบว่ากระบวนการจัดการหน่วยความจำยังไม่สมบูรณ์ ทำให้โปรแกรมที่ถูกล็อกไว้แล้วอาจทำข้อมูลรั่วออกมาได้

ท้าวความสำหรับผู้ไม่เคยใช้โปรแกรมจัดการรหัสผ่าน โปรแกรมเหล่าเข้ารหัสไฟล์เก็บรหัสผ่านเป็นมาตรฐานเสมอ (อาจ export เป็นไฟล์ไม่เข้ารหัสได้ แต่ไม่ใช่กระบวนการเซฟปกติ) และตัวโปรแกรมเองเมื่อเปิดไฟล์ขึ้นมาก็มักจะมีจะขอรหัสผ่านหลัก (master password) เพื่อปลดล็อกเอารหัสภายใน เมื่อผู้ใช้ใช้รหัสผ่านเสร็จแล้วมักกดล็อกโปรแกรมไปหรือเมื่อหมดเวลาโปรแกรมก็จะล็อกตัวเอง เมื่อโปรแกรมล็อกตัวเองไปแล้ว ไม่ควรมีทางเอารหัสออกมาได้ แม้ตัวคอมพิวเตอร์จะไม่ได้ล็อกและมีผู้ใช้คนอื่นมาใช้งานคอมพิวเตอร์ก็ตาม

ISE พบว่าทั้ง 1Password และ LastPass ทิ้งรหัสผ่านหลักเอาไว้ในหน่วยความจำหลังจากล็อกโปรแกรมไปแล้ว และในกรณีที่เข้าดูรหัสผ่านบางรายการในไฟล์ทุกโปรแกรมล้วนทิ้งรหัสผ่านบางรายการไว้ในหน่วยความจำทั้งสิ้น

การโจมตีเช่นความผิดพลาดของซอฟต์แวร์เช่นนี้ต้องใช้สิทธิ์ระดับสูงในเครื่อง เช่นการดัมพ์หน่วยความจำลงดิสก์มาวิเคราะห์ภายหลัง แต่การแสดงหน้าจอบอกผู้ใช้ว่ารหัสผ่านทั้งหมดถูก "ล็อก" ไว้ก็ควรเข้าใจได้ตามนั้นจริงๆ ไม่ควรมีทางกู้รหัสผ่านทางใดๆ อีก

ทาง ISE แนะนำให้ผู้ใช้ปิดโปรแกรมจัดการรหัสผ่านเหล่านี้หลังใช้งานเสร็จ ไม่ใช่เพียงการล็อกโปรแกรมเท่านั้น

ที่มา - ISE