您的位置:首页>科技 >内容

密码管理器可能容易受到恶意软件攻击

2019-02-22 14:34:07来源:
导读 Windows 10的四个流行密码管理器可以将您的登录凭据泄漏到PC的内存中,从而使黑客可以使用恶意软件来定位和窃取数据。然而,密码管理器制

Windows 10的四个流行密码管理器可以将您的登录凭据泄漏到PC的内存中,从而使黑客可以使用恶意软件来定位和窃取数据。然而,密码管理器制造商认为威胁是有限的。

密码管理器是保持您的Internet帐户安全的有用方法。但运行它们的软件并不总是完美的。

根据最新研究,Windows 10的四个流行密码管理器实际上可以将您的登录凭据泄漏到PC的内存中。如果您的计算机被恶意软件秘密接管,这是个坏消息; 当密码管理器打开时,黑客可能会抢夺敏感数据。

这项研究于周二发布,来自位于巴尔的摩的独立安全评估员(ISE),该公司在LastPass上检查了四种产品的安全性,包括1Password,Dashlane,KeePass和LastPass Free。该公司惊讶地发现,产品并不总是加密,然后在PC的后台进程中删除密码数据。甚至主密码也可以用于解锁所有存储的密码。

例如,1Password7将解密所有个人密码,并在应用程序加载后将其存储在计算机的内存中。当产品仍在运行但处于锁定状态时,登录凭证(包括主密码)也将保留在PC的内存中。研究补充说:“用户必须完全退出软件才能从内存中清除敏感信息。”

另一方面,Dashlane将仅单独公开登录凭证,具体取决于用户要访问的密码。只有当用户试图更新密码时,Dashlane应用程序才会以纯文本形式显示整个数据库。LastPass表现出类似的问题,即使应用程序返回到锁定状态,也可能泄漏凭据。

ISE发布了这项研究,鼓励密码管理器供应商在加载PC时更好地保护登录凭据,尤其是当产品恢复到锁定状态时。

ISE研究员Adrian Bednarek在一份声明中说:“鉴于已经使用密码管理器的人口庞大,这些漏洞将诱使黑客通过恶意软件攻击来攻击这些计算机上的数据。”

DashLane ISE

但不是每个人都同意威胁的严重性。为了解决这些攻击,黑客必须诱骗你安装一些恶意软件,这可能会打开你的PC到各种各样的混乱 - 而不仅仅是密码被盗。

“这个问题的现实威胁是有限的,”1Password的安全开发人员Jeffrey Goldberg在电子邮件中告诉PCMag。“没有密码管理器(或其他任何东西)可以承诺在受感染的计算机上安全运行。”

1Password和KeePass也告诉PCMag,ISE引用的安全问题并不是什么新鲜事,并且之前已经提到它们与其产品的已知权衡。例如,对于Windows操作系统,KeePass必须解密一些敏感数据才能显示密码。

“修复这个特殊问题会带来新的,更大的安全风险,”戈德伯格说。他补充说,1Password将不得不切换到另一种不同的旧编程语言,这种语言可能在其他方面不太可靠,并且使用户不安全。

然而,LastPass表示,它引入了新的安全措施来阻止潜在的密码被盗恶意软件。例如,公司的Windows应用程序现在将在用户注销时关闭并清除系统内存。

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章