Paroolihaldurite jaoks on olnud halb paar kuud – kuigi enamasti ainult LastPassi jaoks. Kuid pärast LastPassi paljastusi kandis suurt rikkumist, on nüüd tähelepanu pööratud avatud lähtekoodiga haldurile KeePass.
Sisu
- Seda ei parandata
- Mida sa teha saad?
Levinud on süüdistused, et uus haavatavus võimaldab häkkeritel varjatult varastada kogu kasutaja paroolide andmebaasi krüptimata lihttekstina. See on uskumatult tõsine väide, kuid KeePassi arendajad vaidlevad selle vastu.
KeePass on avatud lähtekoodiga programm paroolihaldur mis salvestab selle sisu kasutaja seadmesse, mitte pilve nagu rivaalitsevad pakkumised. Sarnaselt paljudele teistele rakendustele saab selle paroolihoidlat kaitsta peaparooliga.
Seotud
- Need piinlikud paroolid häkkisid kuulsused
- Google tegi just selle olulise Gmaili turvatööriista täiesti tasuta
- NordPass lisab teie nõrkade paroolide väljasaatmiseks paroolitoe
Haavatavus, logitud kui CVE-2023-24055, on saadaval kõigile, kellel on kasutaja süsteemile kirjutamisõigus. Kui see on kätte saadud, saab ohutegija lisada KeePassi XML-konfiguratsioonifaili käske, mis eksportida automaatselt rakenduse andmebaasi – sealhulgas kõik kasutajanimed ja paroolid – krüptimata andmebaasi lihtteksti fail.
Soovitatavad videod
Tänu XML-failis tehtud muudatustele toimub kõik protsessid taustal automaatselt, nii et kasutajaid ei teavitata andmebaasi ekspordist. Ohustaja saab seejärel eksporditud andmebaasi eraldada enda juhitavasse arvutisse või serverisse.
Seda ei parandata
KeePassi arendajad on aga vaidlustanud protsessi haavatavaks liigitamise, kuna keegi kellel on seadmele kirjutusjuurdepääs, saab paroolide andmebaasi kasutada erinevate (mõnikord lihtsamate) abil meetodid.
Teisisõnu, kui kellelgi on juurdepääs teie seadmele, pole selline XML-i ärakasutamine vajalik. Ründajad võivad näiteks peaparooli hankimiseks installida klahvilogija. Arutluskäik on see, et sellise rünnaku pärast muretsemine on nagu ukse sulgemine pärast hobuse lukustamist. Kui ründajal on juurdepääs teie arvutile, ei aita XML-i ärakasutamise parandamine.
Arendajad väidavad, et lahendus on "keskkonna turvalisena hoidmine (kasutades viirusetõrjetarkvara, tulemüüri, mitte avades tundmatuid meilimanuseid jne). KeePass ei saa ebaturvalises keskkonnas võluväel turvaliselt töötada.
Mida sa teha saad?
Kuigi KeePassi arendajad ei paista soovivat probleemi lahendada, saate ise astuda samme. Parim asi, mida teha, on luua jõustatud konfiguratsioonifail. See on teiste konfiguratsioonifailide suhtes ülimuslik, leevendades välisjõudude tehtud pahatahtlikke muudatusi (nt andmebaasi ekspordi haavatavuses kasutatud).
Samuti peate tagama, et tavakasutajatel poleks olulistele failidele või kaustadele kirjutamisõigust KeePassi kataloogis ja nii KeePassi .exe-fail kui ka sunnitud konfiguratsioonifail on samas kausta.
Ja kui te ei tunne end KeePassi kasutamise jätkamisel mugavalt, on palju muid võimalusi. Proovige lülituda ühele parimad paroolihaldurid et hoida oma sisselogimisandmed ja krediitkaardi andmed turvalisemalt kui kunagi varem.
Kuigi paroolihaldurite maailma jaoks on see kahtlemata rohkem halb uudis, tasub neid rakendusi siiski kasutada. Nad võivad aidata teil luua tugevad unikaalsed paroolid mis on kõigis teie seadmetes krüptitud. See on palju turvalisem kui kasutades iga konto jaoks numbrit 123456.
Toimetajate soovitused
- See kriitiline ärakasutamine võib lasta häkkeritel teie Maci kaitsemehhanismidest mööda minna
- Häkkerid võisid varastada teise paroolihalduri peavõtme
- Ei, 1 parooli ei häkitud – siin on see, mis tegelikult juhtus
- Kui kasutate seda tasuta paroolihaldurit, võivad teie paroolid olla ohus
- LastPass paljastab, kuidas see sisse häkkiti – ja see pole hea uudis
Uuenda oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
