Ήταν κακοί λίγοι μήνες για τους διαχειριστές κωδικών πρόσβασης — αν και κυρίως μόνο για το LastPass. Μετά όμως τις αποκαλύψεις που είχε το LastPass υπέστη μεγάλη παραβίαση, η προσοχή στρέφεται τώρα στον διαχειριστή ανοιχτού κώδικα KeePass.
Περιεχόμενα
- Δεν θα διορθωθεί
- Τι μπορείς να κάνεις?
Υπάρχουν κατηγορίες ότι μια νέα ευπάθεια επιτρέπει στους χάκερ να κλέψουν κρυφά ολόκληρη τη βάση δεδομένων κωδικών πρόσβασης ενός χρήστη σε μη κρυπτογραφημένο απλό κείμενο. Αυτός είναι ένας απίστευτα σοβαρός ισχυρισμός, αλλά οι προγραμματιστές του KeePass τον αμφισβητούν.
Το KeePass είναι ανοιχτού κώδικα διαχειριστής κωδικών πρόσβασης που αποθηκεύει το περιεχόμενό του στη συσκευή ενός χρήστη, αντί στο cloud όπως οι ανταγωνιστικές προσφορές. Όπως και πολλές άλλες εφαρμογές, ωστόσο, το θησαυροφυλάκιο κωδικών πρόσβασης μπορεί να προστατευτεί με έναν κύριο κωδικό πρόσβασης.
Σχετίζεται με
- Αυτοί οι ενοχλητικοί κωδικοί πρόσβασης χάκαραν διασημότητες
- Η Google μόλις έκανε εντελώς δωρεάν αυτό το ζωτικής σημασίας εργαλείο ασφάλειας του Gmail
- Το NordPass προσθέτει υποστήριξη κωδικού πρόσβασης για να εξαλείψει τους αδύναμους κωδικούς πρόσβασής σας
Η ευπάθεια, καταγράφηκε ως CVE-2023-24055, είναι διαθέσιμο σε οποιονδήποτε έχει πρόσβαση εγγραφής στο σύστημα ενός χρήστη. Μόλις επιτευχθεί αυτό, ένας παράγοντας απειλής μπορεί να προσθέσει εντολές στο αρχείο διαμόρφωσης XML του KeePass που εξαγάγετε αυτόματα τη βάση δεδομένων της εφαρμογής - συμπεριλαμβανομένων όλων των ονομάτων χρήστη και των κωδικών πρόσβασης - σε μη κρυπτογραφημένη αρχείο απλού κειμένου.
Προτεινόμενα βίντεο
Χάρη στις αλλαγές που έγιναν στο αρχείο XML, η διαδικασία γίνεται αυτόματα στο παρασκήνιο, έτσι ώστε οι χρήστες να μην ειδοποιούνται ότι η βάση δεδομένων τους έχει εξαχθεί. Ο παράγοντας απειλής μπορεί στη συνέχεια να εξαγάγει την εξαγόμενη βάση δεδομένων σε έναν υπολογιστή ή διακομιστή που ελέγχουν.
Δεν θα διορθωθεί
Ωστόσο, οι προγραμματιστές του KeePass αμφισβήτησαν την ταξινόμηση της διαδικασίας ως ευπάθειας, καθώς οποιοσδήποτε όποιος έχει πρόσβαση εγγραφής σε μια συσκευή μπορεί να πάρει στα χέρια του τη βάση δεδομένων κωδικών πρόσβασης χρησιμοποιώντας διαφορετικά (μερικές φορές πιο απλά) μεθόδους.
Με άλλα λόγια, από τη στιγμή που κάποιος έχει πρόσβαση στη συσκευή σας, αυτό το είδος εκμετάλλευσης XML δεν είναι απαραίτητο. Οι εισβολείς θα μπορούσαν να εγκαταστήσουν ένα keylogger για να λάβουν τον κύριο κωδικό πρόσβασης, για παράδειγμα. Η λογική είναι ότι το να ανησυχείς για αυτού του είδους την επίθεση είναι σαν να κλείνεις την πόρτα αφού το άλογο έχει βιδώσει. Εάν ένας εισβολέας έχει πρόσβαση στον υπολογιστή σας, η επιδιόρθωση της εκμετάλλευσης XML δεν θα βοηθήσει.
Η λύση, υποστηρίζουν οι προγραμματιστές, είναι «να διατηρηθεί το περιβάλλον ασφαλές (με χρήση λογισμικού προστασίας από ιούς, τείχους προστασίας, μη ανοίγματος άγνωστων συνημμένων ηλεκτρονικού ταχυδρομείου κ.λπ.). Το KeePass δεν μπορεί να λειτουργήσει με ασφάλεια σε ένα ανασφαλές περιβάλλον."
Τι μπορείς να κάνεις?
Ενώ οι προγραμματιστές του KeePass φαίνεται απρόθυμοι να διορθώσουν το πρόβλημα, υπάρχουν βήματα που μπορείτε να κάνετε μόνοι σας. Το καλύτερο που έχετε να κάνετε είναι να δημιουργήσετε ένα επιβεβλημένο αρχείο ρυθμίσεων. Αυτό θα έχει προτεραιότητα έναντι άλλων αρχείων διαμόρφωσης, μετριάζοντας τυχόν κακόβουλες αλλαγές που γίνονται από εξωτερικές δυνάμεις (όπως αυτή που χρησιμοποιείται στην ευπάθεια εξαγωγής της βάσης δεδομένων).
Θα πρέπει επίσης να βεβαιωθείτε ότι οι τακτικοί χρήστες δεν έχουν πρόσβαση εγγραφής σε σημαντικά αρχεία ή φακέλους που περιέχονται στον κατάλογο KeePass και ότι τόσο το αρχείο KeePass .exe όσο και το αρχείο επιβεβλημένων ρυθμίσεων βρίσκονται στο ίδιο ντοσιέ.
Και αν δεν αισθάνεστε άνετα να συνεχίσετε να χρησιμοποιείτε το KeePass, υπάρχουν πολλές άλλες επιλογές. Δοκιμάστε να αλλάξετε σε ένα από τα καλύτεροι διαχειριστές κωδικών πρόσβασης για να διατηρήσετε τα στοιχεία σύνδεσης και την πιστωτική σας κάρτα πιο ασφαλή από ποτέ.
Αν και αυτό είναι αναμφίβολα πιο άσχημα νέα για τον κόσμο των διαχειριστών κωδικών πρόσβασης, αυτές οι εφαρμογές εξακολουθούν να αξίζουν να χρησιμοποιηθούν. Μπορούν να σας βοηθήσουν να δημιουργήσετε ισχυρούς, μοναδικούς κωδικούς πρόσβασης που είναι κρυπτογραφημένα σε όλες τις συσκευές σας. Αυτό είναι πολύ πιο ασφαλές από χρησιμοποιώντας το "123456" για κάθε λογαριασμό.
Συστάσεις των συντακτών
- Αυτή η κρίσιμη εκμετάλλευση θα μπορούσε να επιτρέψει στους χάκερ να παρακάμψουν τις άμυνες του Mac σας
- Οι χάκερ μπορεί να έχουν κλέψει το κύριο κλειδί σε άλλο διαχειριστή κωδικών πρόσβασης
- Όχι, το 1Password δεν παραβιάστηκε - εδώ είναι τι πραγματικά συνέβη
- Εάν χρησιμοποιείτε αυτόν τον δωρεάν διαχειριστή κωδικών πρόσβασης, οι κωδικοί πρόσβασής σας ενδέχεται να διατρέχουν κίνδυνο
- Το LastPass αποκαλύπτει πώς παραβιάστηκε - και δεν είναι καλά νέα
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.