Se on ollut huono muutama kuukausi salasanojen hallinnoijille - vaikkakin enimmäkseen vain LastPassille. Mutta LastPassin paljastusten jälkeen joutui vakavaan rikkomukseen, huomio on nyt kääntymässä avoimen lähdekoodin hallintaan KeePassiin.
Sisällys
- Sitä ei korjata
- Mitä voit tehdä?
Syytökset ovat lentäneet siitä, että uusi haavoittuvuus antaa hakkereille mahdollisuuden varastaa käyttäjän koko salasanatietokannan salaamattomana selkeänä tekstinä. Se on uskomattoman vakava väite, mutta KeePassin kehittäjät kiistävät sen.
KeePass on avoimen lähdekoodin versio salasanan hallinta joka tallentaa sisällön käyttäjän laitteelle, eikä pilveen, kuten kilpailevat tarjoukset. Kuten monet muutkin sovellukset, sen salasanavarasto voidaan kuitenkin suojata pääsalasanalla.
Liittyvät
- Nämä kiusalliset salasanat saivat julkkikset hakkeroitumaan
- Google teki juuri tästä tärkeästä Gmail-suojaustyökalusta täysin ilmaisen
- NordPass lisää salasanatuen karkottaaksesi heikkoja salasanojasi
Haavoittuvuus, kirjattu nimellä
CVE-2023-24055, on kaikkien käytettävissä, joilla on kirjoitusoikeudet käyttäjän järjestelmään. Kun se on saatu, uhkatoimija voi lisätä KeePassin XML-määritystiedostoon komentoja, jotka Vie automaattisesti sovelluksen tietokanta – mukaan lukien kaikki käyttäjätunnukset ja salasanat – salaamattomaan tietokantaan pelkkä tekstitiedosto.Suositellut videot
XML-tiedostoon tehtyjen muutosten ansiosta prosessi tapahtuu automaattisesti taustalla, joten käyttäjille ei ilmoiteta tietokannan viennistä. Uhkatoimija voi sitten purkaa viedyn tietokannan hallitsemaansa tietokoneeseen tai palvelimeen.
Sitä ei korjata
KeePassin kehittäjät ovat kuitenkin kiistäneet prosessin luokittelun haavoittuvuudeksi, koska kuka tahansa jolla on kirjoitusoikeus laitteeseen, hän voi saada käsiinsä salasanatietokannan erilaisilla (joskus yksinkertaisemmilla) menetelmiä.
Toisin sanoen, kun joku pääsee käsiksi laitteeseesi, tällainen XML-hyödyntäminen on tarpeetonta. Hyökkääjät voivat asentaa keyloggerin saadakseen esimerkiksi pääsalasanan. Päättely on, että tällaisesta hyökkäyksestä huolehtiminen on kuin oven sulkemista hevosen ryntäyksen jälkeen. Jos hyökkääjällä on pääsy tietokoneellesi, XML-hyödyntämisen korjaaminen ei auta.
Ratkaisu, kehittäjät väittävät, on "ympäristön pitäminen turvallisena (käyttämällä virustorjuntaohjelmistoa, palomuuria, avaamatta tuntemattomia sähköpostin liitteitä jne.). KeePass ei voi maagisesti toimia turvallisesti turvattomassa ympäristössä."
Mitä voit tehdä?
Vaikka KeePass-kehittäjät eivät näytä haluavan korjata ongelmaa, on olemassa toimenpiteitä, joita voit tehdä itse. Paras tapa on luoda pakotettu asetustiedosto. Tämä on etusijalla muihin asetustiedostoihin nähden, mikä vähentää ulkopuolisten voimien tekemiä haitallisia muutoksia (kuten tietokannan vientihaavoittuvuudessa käytettyjä).
Sinun on myös varmistettava, että tavallisilla käyttäjillä ei ole kirjoitusoikeutta tärkeisiin tiedostoihin tai kansioihin KeePass-hakemistossa ja että sekä KeePass .exe-tiedosto että pakotettu asetustiedosto ovat samassa kansio.
Ja jos et halua jatkaa KeePassin käyttöä, on monia muita vaihtoehtoja. Kokeile vaihtaa johonkin parhaat salasanojen ylläpitäjät pitääksesi kirjautumistunnuksesi ja luottokorttitietosi turvallisempana kuin koskaan.
Vaikka tämä on epäilemättä huonompi uutinen salasanojen hallinnoijien maailmalle, näitä sovelluksia kannattaa silti käyttää. He voivat auttaa sinua luomaan vahvat, ainutlaatuiset salasanat jotka on salattu kaikilla laitteillasi. Se on paljon turvallisempaa kuin käyttämällä "123456" jokaiselle tilille.
Toimittajien suositukset
- Tämä kriittinen hyväksikäyttö voi antaa hakkereille mahdollisuuden ohittaa Macisi puolustukset
- Hakkerit ovat saattaneet varastaa toisen salasananhallinnan pääavaimen
- Ei, 1Passwordia ei hakkeroitu – tässä on mitä todella tapahtui
- Jos käytät tätä ilmaista salasananhallintaa, salasanasi voivat olla vaarassa
- LastPass paljastaa, kuinka se hakkeroitiin - ja se ei ole hyvä uutinen
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
