查看原文
其他

4大密码管理器再曝漏洞,你用的是这个吗?

小雪 看雪学院 2019-05-25

据外媒Softpedia报道,对于那些希望抵御网络攻击计算机用户来说,密码管理器几乎是必备的,但是最近的一项研究发现Windows 10中四个最受欢迎的密码应用程序中的存在一个重大安全漏洞。


独立安全评估公司(ISE)在Windows 10上对1Password,Dashlane,KeePass和LastPass进行了安全审计,结果令人担忧。只要密码管理器本身处于锁定状态,该主密码就会以明文形式保留在设备的内存中。(主密码是密码管理器用来保护应用程序的密钥,用户在解锁时需要提供密码。)这意味着有权访问计算机的黑客可以轻松读取,然后访问存储在密码管理器中的所有数据。

ISE发现的错误引发了一种不同的风险:密码暴露在个人用户PC的内存中。任何曝光都会“使用户的秘密记录不必要地处于危险之中”。


通过使用专有的逆向工程工具,ISE分析师能够快速评估密码管理器在锁定状态下对密码的处理。ISE发现标准内存取证可用于提取主密码及其应该保护的密码,重要的是要知道从PC内存中读取主密码需要访问设备,无论是物理还是远程。


为了窥探你的PC内存,黑客需要坐在你的计算机上或诱骗你安装可控制你的计算机的恶意软件。


目前,研究人员只研究了Windows应用程序,但该漏洞可能也会影响MacOS和移动操作系统。


此外,该报告还强调,尽管密码管理器存在安全风险,但仍建议使用密码管理器。因为它们会针对依赖弱密码的典型攻击添加额外的保护层。ISE建议开发人员改进密码管理器清理内存的方式,且用户应避免将密码管理器保持锁定状态。


专栏作家杰弗里·福勒认为密码管理器仍然值得被使用,这个道理就和在车里使用安全带一样,安全带无法保证人们免受一切车祸,但是它仍然值得被使用。这个道理也适用于密码管理器。



如何防御


个人设备是薄弱环节。因此,建议用户:


  • 更新软件:新版本包含非常重要的安全补丁。


  • 检查计算机是否存在恶意软件。推荐用于Windows和MacOS的Malwarebytes。


  • 在安装来自Microsoft,Apple和Google管理的应用程序商店之外的软件时要非常小心。拒绝Web浏览器扩展和弹出消息。


  • 不在密码管理器中存储极其宝贵的秘密,如比特币私钥。

 

参考来源:

  • cnBeta.COM

  • tellerchina



- End -


征题正在火热进行中!

(晋级赛Q1即将于3月10日开启,敬请期待!)



热门文章阅读



1、Chrome 隐私模式爆漏洞,用户无处隐身

2、看《软件随想录》,听Joel Spolsky对程序员的六个建议

3、看雪企服平台,属于你的安全专家!

4、牛逼的师傅来啦,帮你搞定Web安全!


热门课程推荐













公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击下方“阅读原文”

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存