Pro správce hesel to bylo pár špatných měsíců – i když většinou jen pro LastPass. Ale po odhaleních, které měl LastPass došlo k velkému porušení, pozornost se nyní obrací k open-source manažeru KeePass.
Obsah
- Opraveno nebude
- Co můžeš udělat?
Objevila se obvinění, že nová zranitelnost umožňuje hackerům tajně ukrást celou databázi hesel uživatele v nešifrovaném prostém textu. To je neuvěřitelně vážné tvrzení, ale vývojáři KeePass to zpochybňují.
KeePass je open-source správce hesel která ukládá svůj obsah na zařízení uživatele, nikoli do cloudu jako konkurenční nabídky. Stejně jako mnoho jiných aplikací však může být její trezor hesel chráněn hlavním heslem.
Příbuzný
- Tato trapná hesla napadla celebrity
- Google právě udělal tento životně důležitý nástroj pro zabezpečení Gmailu zcela zdarma
- NordPass přidává podporu přístupových klíčů k odstranění vašich slabých hesel
Chyba zabezpečení, přihlášená jako CVE-2023-24055, je k dispozici komukoli s přístupem k zápisu do systému uživatele. Jakmile to získáte, může aktér hrozby přidávat příkazy do konfiguračního souboru XML KeePass automaticky exportovat databázi aplikace – včetně všech uživatelských jmen a hesel – do nešifrované soubor ve formátu prostého textu.
Doporučená videa
Díky změnám provedeným v souboru XML probíhá celý proces automaticky na pozadí, takže uživatelé nejsou upozorněni, že jejich databáze byla exportována. Aktér hrozby pak může exportovanou databázi extrahovat do počítače nebo serveru, který řídí.
Opraveno nebude
Vývojáři KeePass však zpochybnili klasifikaci procesu jako zranitelnosti, protože kdo má přístup pro zápis do zařízení, může získat databázi hesel pomocí různých (někdy jednodušších) metody.
Jinými slovy, jakmile má někdo přístup k vašemu zařízení, je tento druh zneužití XML zbytečný. Útočníci by například mohli nainstalovat keylogger, aby získali hlavní heslo. Úvaha je taková, že dělat si starosti s tímto druhem útoku je jako zavřít dveře poté, co kůň zaskočil. Pokud má útočník přístup k vašemu počítači, oprava zneužití XML nepomůže.
Řešením je podle vývojářů „udržovat prostředí v bezpečí (používáním antivirového softwaru, firewallu, neotevíráním neznámých e-mailových příloh atd.). KeePass nemůže magicky běžet bezpečně v nezabezpečeném prostředí.“
Co můžeš udělat?
I když se zdá, že vývojáři KeePass nejsou ochotni problém vyřešit, existují kroky, které můžete podniknout sami. Nejlepší věc, kterou můžete udělat, je vytvořit vynucený konfigurační soubor. To bude mít přednost před jinými konfiguračními soubory a zmírní jakékoli škodlivé změny provedené vnějšími silami (jako jsou ty, které se používají ve zranitelnosti exportu databáze).
Budete se také muset ujistit, že běžní uživatelé nemají přístup pro zápis k žádným důležitým souborům nebo složkám v adresáři KeePass a že jak soubor KeePass .exe, tak vynucený konfigurační soubor jsou ve stejném složku.
A pokud se necítíte dobře v používání KeePass, existuje spousta dalších možností. Zkuste přejít na jeden z nejlepší správci hesel aby byly vaše přihlašovací údaje a údaje o kreditní kartě bezpečnější než kdy jindy.
I když je to nepochybně horší zpráva pro svět správců hesel, tyto aplikace stále stojí za to používat. Mohou vám pomoci vytvořit silná, jedinečná hesla které jsou zašifrovány na všech vašich zařízeních. To je mnohem bezpečnější než pomocí „123456“ pro každý účet.
Doporučení redakce
- Toto kritické zneužití by mohlo hackerům umožnit obejít obranu vašeho Macu
- Hackeři možná ukradli hlavní klíč jinému správci hesel
- Ne, 1Password nebyl hacknut – tady je to, co se skutečně stalo
- Pokud používáte tohoto bezplatného správce hesel, vaše hesla mohou být ohrožena
- LastPass odhaluje, jak byl hacknut – a není to dobrá zpráva
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
