4大密碼管理器再曝漏洞,你用的是這個嗎?

Editor發表於2019-02-21

據外媒Softpedia報導,對於那些希望抵禦網路攻擊計算機使用者來說,密碼管理器幾乎是必備的,但是最近的一項研究發現Windows 10中四個最受歡迎的密碼應用程式中的存在一個重大安全漏洞。


4大密碼管理器再曝漏洞,你用的是這個嗎?


獨立安全評估公司(ISE)在Windows 10上對1Password,Dashlane,KeePass和LastPass進行了安全審計,結果令人擔憂。只要密碼管理器本身處於鎖定狀態,該主密碼就會以明文形式保留在裝置的記憶體中。(主密碼是密碼管理器用來保護應用程式的金鑰,使用者在解鎖時需要提供密碼。)這意味著有權訪問計算機的黑客可以輕鬆讀取,然後訪問儲存在密碼管理器中的所有資料。


4大密碼管理器再曝漏洞,你用的是這個嗎?


ISE發現的錯誤引發了一種不同的風險:密碼暴露在個人使用者PC的記憶體中。任何曝光都會“使使用者的祕密記錄不必要地處於危險之中”。


通過使用專有的逆向工程工具,ISE分析師能夠快速評估密碼管理器在鎖定狀態下對密碼的處理。ISE發現標準記憶體取證可用於提取主密碼及其應該保護的密碼,重要的是要知道從PC記憶體中讀取主密碼需要訪問裝置,無論是物理還是遠端。


為了窺探你的PC記憶體,黑客需要坐在你的計算機上或誘騙你安裝可控制你的計算機的惡意軟體。


4大密碼管理器再曝漏洞,你用的是這個嗎?


目前,研究人員只研究了Windows應用程式,但該漏洞可能也會影響MacOS和移動作業系統。


4大密碼管理器再曝漏洞,你用的是這個嗎?


此外,該報告還強調,儘管密碼管理器存在安全風險,但仍建議使用密碼管理器。因為它們會針對依賴弱密碼的典型攻擊新增額外的保護層。ISE建議開發人員改進密碼管理器清理記憶體的方式,且使用者應避免將密碼管理器保持鎖定狀態。


專欄作家傑弗裡·福勒認為密碼管理器仍然值得被使用,這個道理就和在車裡使用安全帶一樣,安全帶無法保證人們免受一切車禍,但是它仍然值得被使用。這個道理也適用於密碼管理器。



如何防禦


個人裝置是薄弱環節。因此,建議使用者:


更新軟體:新版本包含非常重要的安全補丁。


檢查計算機是否存在惡意軟體。推薦用於Windows和MacOS的Malwarebytes。


在安裝來自Microsoft,Apple和Google管理的應用程式商店之外的軟體時要非常小心。拒絕Web瀏覽器擴充套件和彈出訊息。


不在密碼管理器中儲存極其寶貴的祕密,如比特幣私鑰。


參考來源:

cnBeta.COM

tellerchina



相關文章