Denne enorme adgangskodehåndteringsudnyttelse bliver muligvis aldrig rettet

Det har været et par dårlige måneder for adgangskodeadministratorer - dog mest kun for LastPass. Men efter de afsløringer, som LastPass havde fik et større brud, er opmærksomheden nu rettet mod open source-manager KeePass.

Der har været anklager om, at en ny sårbarhed gør det muligt for hackere i det skjulte at stjæle en brugers hele adgangskodedatabase i ukrypteret klartekst. Det er en utrolig alvorlig påstand, men KeePass's udviklere bestrider det.

KeePass er en open source password manager der gemmer indholdet på en brugers enhed snarere end i skyen som konkurrerende tilbud. Som mange andre apps kan dens adgangskodehvælving dog beskyttes med en hovedadgangskode.

Sårbarheden, logget som CVE-2023-24055

Takket være de ændringer, der er foretaget i XML-filen, foregår processen automatisk i baggrunden, så brugerne ikke bliver advaret om, at deres database er blevet eksporteret. Trusselsaktøren kan derefter udtrække den eksporterede database til en computer eller server, de kontrollerer.

Det bliver ikke rettet

Udviklerne af KeePass har dog bestridt klassificeringen af ​​processen som en sårbarhed, da nogen der har skriveadgang til en enhed kan få fingrene i adgangskodedatabasen ved hjælp af forskellige (nogle gange enklere) metoder.

Med andre ord, når nogen først har adgang til din enhed, er denne form for XML-udnyttelse unødvendig. Angribere kan for eksempel installere en keylogger for at få hovedadgangskoden. Begrundelsen er, at at bekymre sig om denne form for angreb er som at lukke døren, efter at hesten er gået i stå. Hvis en hacker har adgang til din computer, hjælper det ikke at rette XML-udnyttelsen.

Løsningen, hævder udviklerne, er "at holde miljøet sikkert (ved at bruge en anti-virus software, en firewall, ikke åbne ukendte e-mail-vedhæftede filer osv.). KeePass kan ikke på magisk vis køre sikkert i et usikkert miljø."

Hvad kan du gøre?

Mens KeePass's udviklere ser ud til at være uvillige til at løse problemet, er der trin, du selv kan tage. Den bedste ting at gøre er at skabe en tvungen konfigurationsfil. Dette vil have forrang frem for andre konfigurationsfiler, og afbøde eventuelle ondsindede ændringer foretaget af eksterne kræfter (såsom dem, der bruges i databasens eksportsårbarhed).

Du skal også sørge for, at almindelige brugere ikke har skriveadgang til vigtige filer eller mapper i KeePass-biblioteket, og at både KeePass .exe-filen og den tvungne konfigurationsfil er i det samme folder.

Og hvis du ikke føler dig tryg ved at fortsætte med at bruge KeePass, er der masser af andre muligheder. Prøv at skifte til en af ​​de bedste adgangskodeadministratorer for at holde dine login og kreditkortoplysninger sikrere end nogensinde.

Selvom dette utvivlsomt er mere dårlige nyheder for adgangskodeadministratorernes verden, er disse apps stadig værd at bruge. De kan hjælpe dig med at skabe stærke, unikke adgangskoder der er krypteret på alle dine enheder. Det er langt sikrere end ved at bruge "123456" for hver konto.

Redaktørens anbefalinger

• Denne kritiske udnyttelse kan lade hackere omgå din Macs forsvar
• Hackere kan have stjålet hovednøglen til en anden adgangskodeadministrator
• Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
• Hvis du bruger denne gratis adgangskodemanager, kan dine adgangskoder være i fare
• LastPass afslører, hvordan det blev hacket - og det er ikke gode nyheder

Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.