密碼管理器也不安全!LastPass曝出高危漏洞,黑客可輕鬆偷走你的密碼
圖片來源:Bleeping computer
LastPass是什麼?
當你登入任何一個網站,它就會提醒你儲存登入資訊,並在雲端自動同步,之後再次訪問這個網站就會幫你填寫登入憑證。
這給密碼眾多又記不住的使用者帶來了許多便利。
LastPass爆出安全風險
這一次的漏洞,恰恰源自在LastPass在瀏覽器擴充套件中的安全隱患。黑客可以利用這個漏洞獲取使用者上次登入網站時儲存的登入憑證。
這次攻擊型別是點選劫持,這也就意味著你瀏覽的網頁並不是真實的網頁,而是黑客所精心設計的另一個透明網頁,往往就是惡意網頁。
這種攻擊利用了HTML中iframe標籤的透明屬性。當你通過網頁提示將輸入密碼的彈出框放置到iframe中時,就會自動跳過驗證鏈中的一個步驟,從而給了黑客趁機而入的機會,以盜竊你最後一次輸入的密碼。
雖然這個漏洞可能不適用於所有的網站,但其嚴重性仍是不容忽視的。
此外,研究人員發現LastPass還存在三個可能被攻擊者利用的漏洞,如下所示:
1.由於缺乏對可信事件的檢查而產生任意快捷鍵漏洞事件的可能性。
2.允許禁用多個安全檢查。
3.允許繞過幾個與安全相關的驗證。
解決方案
LastPass密碼管理器的製造商承認了這個漏洞,並在9月13日宣佈他們已經解決了這個漏洞。
雖然由於該漏洞導致的任何潛在風險僅限於特定瀏覽器(Chrome和Opera),但作為預防措施,LastPass官方已將補丁自動更新到所有瀏覽器,但仍需要檢查是否是最新版本,因為部分使用者的瀏覽器禁用擴充套件自動更新。
密碼管理器也並不是絕對安全,只是提供一種相對風險較低的密碼儲存方式。對LastPass使用者的建議包括以下幾點:
遠離未知的個人連結
為所有支援該功能的服務啟用多重身份驗證(MFA)
不要重複使用或共享密碼管理器的主密碼
為每個線上帳戶建立唯一密碼
執行最新的防病毒解決方案,並確保軟體在您的計算機上是最新版本
*本文由看雪編輯 LYA 編譯自Bleeping computer,轉載請註明來源及作者。
相關文章
- 用LastPass管理好你的密碼AST密碼
- 4大密碼管理器再曝漏洞,你用的是這個嗎?密碼
- NCSC釋出最常被黑客入侵的密碼列表 你的是否也在其中?黑客密碼
- 黑客偷你的密碼幹什麼?黑客密碼
- Oracle釋出密碼工具補預設密碼漏洞(轉)Oracle密碼
- 蘋果macOS再曝漏洞:輸任意密碼可進App Store首選項蘋果Mac密碼APP
- 高通晶片關鍵漏洞暴露三星、LG手機上的機密資料,你的密碼可被輕鬆竊取!晶片密碼
- 研究者再次發現Skype漏洞 黑客可惡意更改密碼黑客密碼
- 聯通光貓管理員密碼分析,不安全的密碼方案密碼
- 不安全的瀏覽器密碼瀏覽器密碼
- iOS也不安全?高危漏洞威脅近半果粉!iOS
- Google 現在可以更輕鬆地檢查你的密碼是否洩露Go密碼
- 輕鬆設定win8賬號密碼的技巧密碼
- 新的PHP高危漏洞可導致黑客執行遠端程式碼攻擊PHP黑客
- Apache Struts 再曝高危遠端程式碼執行漏洞Apache
- 思科產品中存在硬編碼密碼和 Java 反序列化高危漏洞密碼Java
- LastPass密碼庫被盜,最大密碼管理軟體網路攻擊事件新進展AST密碼事件
- 密碼管理器進化史密碼
- 440萬美元加密貨幣被盜,似乎緣於LastPass密碼管理器資料洩露加密AST密碼
- 2019 最不安全密碼密碼
- 密碼過長也不安全 易被駭客利用發起DoS攻擊密碼
- Password Recovery Bundle Pro輕鬆恢復所有丟失密碼或忘記密碼密碼
- 邏輯漏洞之密碼重置密碼
- GeForce Experience曝出高危漏洞:NVIDIA緊急釋出更新
- 漏洞簡析——CWE-259:使用硬編碼的密碼漏洞密碼
- oneSafe for Mac(日常密碼管理器)Mac密碼
- 一文了解密碼/國密及應用,密碼也卡脖子?解密密碼
- iOS 7 新漏洞:可無需密碼禁用“查詢我的iPhone”iOS密碼iPhone
- 你的密碼真的安全嗎?密碼
- 希爾密碼(hill密碼)密碼
- 黑客是如何知道我們常用的密碼的黑客密碼
- 密碼找回邏輯漏洞總結密碼
- 新iPhone漏洞,可繞過密碼訪問聯絡人和照片iPhone密碼
- 密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案密碼
- 密碼管理器進化史(1/4)密碼
- 密碼管理器進化史(2/4)密碼
- 密碼管理器進化史(3/4)密碼
- 密碼管理器進化史(4/4)密碼