Бяха лоши няколко месеца за мениджърите на пароли – макар и най-вече само за LastPass. Но след разкритията, които LastPass имаше претърпя сериозно нарушение, сега вниманието се насочва към мениджъра с отворен код KeePass.
Съдържание
- Няма да се поправи
- Какво можеш да направиш?
Летяха обвинения, че нова уязвимост позволява на хакерите тайно да откраднат цялата база данни с пароли на потребителя в некриптиран обикновен текст. Това е невероятно сериозно твърдение, но разработчиците на KeePass го оспорват.
KeePass е с отворен код мениджър на пароли който съхранява съдържанието си на устройството на потребителя, а не в облака като конкурентни предложения. Подобно на много други приложения обаче, неговият хранилище с пароли може да бъде защитено с главна парола.
Свързани
- Тези неудобни пароли накараха знаменитости да бъдат хакнати
- Google току-що направи този жизненоважен инструмент за сигурност на Gmail напълно безплатен
- NordPass добавя поддръжка на ключ за достъп, за да прогони вашите слаби пароли
Уязвимостта, регистрирана като CVE-2023-24055, е достъпен за всеки с достъп за запис в системата на потребителя. След като това бъде получено, заплахата може да добави команди към XML конфигурационния файл на KeePass, който автоматично експортира базата данни на приложението — включително всички потребителски имена и пароли — в некриптирана обикновен текстов файл.
Препоръчани видеоклипове
Благодарение на промените, направени в XML файла, целият процес се извършва автоматично във фонов режим, така че потребителите не са предупредени, че тяхната база данни е била експортирана. След това заплахата може да извлече експортираната база данни на компютър или сървър, който контролира.
Няма да се поправи
Разработчиците на KeePass обаче оспорват класифицирането на процеса като уязвимост, тъй като всеки който има достъп за запис на устройство, може да се докопа до базата данни с пароли, използвайки различни (понякога по-прости) методи.
С други думи, след като някой има достъп до вашето устройство, този вид XML експлоатация е ненужен. Нападателите могат да инсталират keylogger, за да получат главната парола например. Линията на разсъждение е, че да се тревожиш за този вид нападение е като да затвориш вратата, след като конят е избягал. Ако нападател има достъп до вашия компютър, коригирането на XML експлойта няма да помогне.
Разработчиците твърдят, че решението е „запазване на средата защитена (чрез използване на антивирусен софтуер, защитна стена, неотваряне на неизвестни прикачени файлове към имейл и т.н.). KeePass не може магически да работи сигурно в несигурна среда.“
Какво можеш да направиш?
Докато разработчиците на KeePass изглежда не желаят да решат проблема, има стъпки, които можете да предприемете сами. Най-доброто нещо, което можете да направите, е да създадете наложен конфигурационен файл. Това ще има предимство пред другите конфигурационни файлове, смекчавайки всички злонамерени промени, направени от външни сили (като използваните в уязвимостта при експортиране на базата данни).
Също така ще трябва да се уверите, че обикновените потребители нямат достъп за писане до съдържащи се важни файлове или папки в директорията на KeePass и че файлът KeePass .exe и принудителният конфигурационен файл са в едно и също папка.
И ако не се чувствате удобно да продължите да използвате KeePass, има много други опции. Опитайте да преминете към един от най-добрите мениджъри на пароли за да запазите данните си за влизане и кредитна карта по-сигурни от всякога.
Въпреки че това несъмнено е по-лоша новина за света на мениджърите на пароли, тези приложения все още си струва да се използват. Те могат да ви помогнат да създадете силни, уникални пароли които са криптирани на всички ваши устройства. Това е много по-безопасно от използвайки „123456“ за всеки акаунт.
Препоръки на редакторите
- Този критичен експлойт може да позволи на хакерите да заобиколят защитите на вашия Mac
- Хакерите може да са откраднали главния ключ на друг мениджър на пароли
- Не, 1Password не е хакнат – ето какво наистина се случи
- Ако използвате този безплатен мениджър на пароли, вашите пароли може да са изложени на риск
- LastPass разкрива как е бил хакнат - и това не е добра новина
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
