В свежей сборке ELcomsoft Distributed Password Recovery появилась поддержка ещё восьми популярных менеджеров паролей: Bitwarden, Dropbox Passwords, Enpass, Kaspersky, Keeper, Roboform, Sticky Password и Zoho Vault. Поддержка менеджеров паролей предоставит исследователям и специалистам по безопасности возможность получить доступ к целому набору учётных данных пользователя — для этого достаточно восстановить единственный мастер-пароль, которым зашифрована база программы для хранения паролей.

Менеджеры паролей стали неотъемлемой частью повседневной жизни: они позволяют создавать, хранить, синхронизировать между устройствами и автоматически вводить стойкие, уникальные пароли. Простота и удобство использования программ для хранения паролей, с одной стороны, избавляют пользователя от соблазна повторно использовать легко запоминаемые (и легко взламываемые) комбинации. С другой же стороны использование таких утилит не только усиливает безопасность, но и создаёт уязвимость: достаточно подобрать единственный пароль, которым защищена база самой программы, и все учётные данные пользователя становятся доступны.

В нашем продукте Elcomsoft Distributed Password Recovery уже присутствует поддержка самых популярных утилит для хранения паролей — 1Password, LastPass, Dashlane и KeePass, а последнее обновление расширяет этот список ещё на восемь позиций. Добавлена поддержка форматов Bitwarden, Dropbox Passwords, Enpass, Kaspersky, Keeper, Roboform, Sticky Password и Zoho Vault.

Особый интерес в списке новых форматов представляет Bitwarden — бесплатный проект с открытым исходным кодом, доступный как в виде отдельного приложения для многих платформ, так и в виде расширений для Firefox и браузеров на базе Chromium (включая Chrome и Edge). В Distributed Password Recovery поддерживаются все эти форматы.

Пошаговая инструкция

Прежде, чем начать атаку в Elcomsoft Distributed Password Recovery, из оригинальной базы данных менеджера паролей необходимо извлечь метаданные шифрования, для чего используется отдельная утилита, входящая в состав EDPR — Elcomsoft Hash Extractor. Для настройки атаки в EDPR нужно будет открыть именно этот файл.

1. Скопируйте файл базы данных утилиты для хранения паролей

Мы составили список путей, по которым доступны файлы с базами данных менеджеров паролей.

• Bitwarden
  • Windows (отдельное приложение):

    %USERPROFILE%\AppData\Roaming\Bitwarden\data.json

  • Расширение для браузеров на основе Chromium:

    %USERPROFILE%\AppData\Local\Microsoft\Edge\User Data\Default\Local Extension Settings\jbkfoedolllekgbhcbcoahefnbanhhlh
    %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\nngceckbapebfimnlniiiahkandclblb

  • Расширение для Firefox:

    %USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\4gh7gwgh.default-release\storage\default\moz-extension+++39ba7978-e1be-4990-b48d-00c0ff8362f3^userContextId=4294967295\idb\3647222921wleabcEoxlt-eengsairo.sqlite

• Dropbox Passwords
  • Расширение для Edge:

    %USERPROFILE%\AppData\Local\Microsoft\Edge\User Data\Default\Local Extension Settings\fpkmflnbcknhlogdhofdmneejiijefch\..Extension storage

  • Расширение для Chrome:

    %USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\bmhejbnmpamgfnomlahkonpanlkcfabg\..Extension storage

  • Расширение для Firefox:

    %AppData%\Mozilla\Firefox\Profiles\revl980y.default-release\storage\default\moz-extension+++7b48bf6a-db2b-4f1e-a3d9-31dd3d026c68^userContextId=4294967295\idb\3647222921wleabcEoxlt-eengsairo.sqlite

• Enpass
  • Windows (отдельное приложение):

    %APPDATA%\Roaming\Sinew Software Systems Pvt Ltd\Enpass\Vaults\primary\vault.json
    %APPDATA%\Roaming\Sinew Software Systems Pvt Ltd\Enpass\Vaults\primary\vault.enpassdb

• Kaspersky
  • Windows (отдельное приложение):

    %LocalAppData%\Kaspersky Lab\Kaspersky Password Manager\kpm_vault.edb

• Keeper
  • Windows (отдельное приложение):

    %LocalAppData%\Packages\KeeperSecurityInc.KeeperPasswordManager_zwgt23r867e2p\AppData\Keeper Password Manager\IndexedDB\file__0.indexeddb.leveldb

• Roboform
  • Windows (отдельное приложение):

    %USERPROFILE%\AppData\Local\RoboForm\Profiles\Default Profile\_app-data.rfo

• Sticky Password
  • Windows (отдельное приложение):

    %LocalAppData%\Lamantine\StickyPassword\default.spdb

• Zoho Vault
  • Файл:

    XML

2. Извлеките метаданные шифрования посредством Elcomsoft Hash Extractor (EHE)

Откройте копию базы данных в утилите Elcomsoft Hash Extractor (EHE) из состава Elcomsoft Distributed Password Recovery. Результат работы утилиты — небольшой файл, в котором содержатся только метаданные шифрования (хэш мастер-пароля). В дальнейшем работа будет проводиться именно с этим файлом.

3. Настройте и запустите атаку в Elcomsoft Distributed Password Recovery

Наконец, откройте файл с метаданными шифрования в Distributed Password Recovery. Теперь можно настроить атаку и запустить её. Обратите внимание: аппаратное ускорение на видеокартах AMD, Intel и NVIDIA поддерживается для всех добавленных форматов за исключением Dropbox.