Onderzoekers van de Universiteit van York hebben in vijf populaire wachtwoordmanagers lekken gevonden waardoor een aanvaller wachtwoorden zou kunnen achterhalen. Het gaat om de wachtwoordmanagers Dashlane, LastPass, Keeper, 1Password en RoboForm voor Android en Windows.

Zo zijn LastPass en 1Password kwetsbaar voor een phishingaanval waarbij de gebruiker een malafide app downloadt, die zich vervolgens aan de wachtwoordmanager voordoet als een legitieme app. De wachtwoordmanager zal vervolgens de opgeslagen inloggegevens van de legitieme app aan de malafide app verstrekken. Verder bleek dat Dashlane en RoboForm kwetsbaar zijn voor bruteforce-aanvallen op de pincode waarmee er toegang tot opgeslagen wachtwoorden kan worden verkregen. Voor het uitvoeren van een dergelijke aanval moet een aanvaller wel toegang tot het toestel hebben.

Een ander probleem doet zich voor bij de clipboardfunctie van computers. Wachtwoordmanagers laten gebruikers opgeslagen wachtwoorden kopiëren en plakken. Windows 10 biedt echter toegang tot het clipboard van een vergrendelde computer. Een aanvaller met fysieke toegang zou op deze manier gekopieerde wachtwoorden kunnen stelen. Alleen 1Password heeft maatregelen tegen een dergelijke aanval genomen.

De onderzoekers rapporteerden de problemen aan de wachtwoordmanagers. Sommige problemen zijn opgelost, andere werden als klein risico bestempeld en niet verholpen. "In onze communicatie met de wachtwoordmanagers zagen we goede en slechte kanten in hoe ze omgaan met bugmeldingen. Positief was de reactie op ernstige of eenvoudig te verhelpen problemen die snel werden opgelost. Negatief was dat problemen die als lage prioriteit werden bestempeld te eenvoudig worden afgedaan", aldus de conclusie van de onderzoekers.