Rossz néhány hónap telt el a jelszókezelők számára – bár többnyire csak a LastPass számára. De miután a LastPass felfedte súlyos jogsértést szenvedett el, a figyelem most a nyílt forráskódú KeePass kezelőre irányul.
Tartalom
- Nem lesz javítva
- Mit tudsz csinálni?
Repülnek a vádak, miszerint egy új biztonsági rés lehetővé teszi a hackerek számára, hogy titokban ellopják a felhasználó teljes jelszóadatbázisát titkosítatlan szöveges formában. Ez egy hihetetlenül komoly állítás, de a KeePass fejlesztői vitatják.
A KeePass nyílt forráskódú jelszókezelő amely a tartalmat a felhasználó eszközén tárolja, nem pedig a felhőben, mint a rivális ajánlatok. Sok más alkalmazáshoz hasonlóan azonban a jelszótároló védhető fő jelszóval.
Összefüggő
- Ezekkel a kínos jelszavakkal hírességeket törtek fel
- A Google most teljesen ingyenessé tette ezt a létfontosságú Gmail biztonsági eszközt
- A NordPass hozzáférési kulcs támogatást ad a gyenge jelszavak száműzéséhez
A sérülékenység, mint CVE-2023-24055
, bárki számára elérhető, akinek írási joga van a felhasználó rendszeréhez. Amint ez megtörtént, a fenyegetés szereplője olyan parancsokat adhat hozzá a KeePass XML konfigurációs fájljához, automatikusan exportálja az alkalmazás adatbázisát – beleértve az összes felhasználónevet és jelszót – egy titkosítatlan adatbázisba egyszerű szöveges fájl.Ajánlott videók
Az XML fájlon végrehajtott változtatásoknak köszönhetően a folyamat automatikusan a háttérben zajlik, így a felhasználók nem kapnak figyelmeztetést az adatbázisuk exportálásáról. A fenyegetés szereplője ezután kibonthatja az exportált adatbázist egy általa irányított számítógépre vagy kiszolgálóra.
Nem lesz javítva
A KeePass fejlesztői azonban vitatták a folyamat sebezhetőségének minősítését, mivel bárki aki írási hozzáféréssel rendelkezik egy eszközhöz, másféle (néha egyszerűbb) használatával hozzáférhet a jelszóadatbázishoz. mód.
Más szóval, ha egyszer valaki hozzáfér az eszközéhez, az XML effajta kihasználása szükségtelen. A támadók például egy keyloggert telepíthetnek, hogy megszerezzék a fő jelszót. Az érvelés az, hogy az ilyen típusú támadások miatt aggódni olyan, mintha bezárná az ajtót, miután a ló bezárult. Ha egy támadó hozzáfér a számítógépéhez, az XML exploit javítása nem segít.
A megoldás a fejlesztők szerint a „környezet biztonságának megőrzése (vírusirtó szoftver, tűzfal, ismeretlen e-mail mellékletek megnyitása stb. használatával). A KeePass nem tud varázsütésre biztonságosan futni nem biztonságos környezetben.”
Mit tudsz csinálni?
Bár a KeePass fejlesztői úgy tűnik, nem hajlandók megoldani a problémát, vannak olyan lépések, amelyeket saját maga is megtehet. A legjobb, ha létrehozunk egy kényszerített konfigurációs fájl. Ez elsőbbséget élvez a többi konfigurációs fájllal szemben, enyhítve a külső erők által végrehajtott rosszindulatú változtatásokat (például az adatbázis-exportálási sebezhetőségnél használtakat).
Gondoskodnia kell arról is, hogy a normál felhasználóknak ne legyen írási hozzáférése egyetlen fontos fájlhoz vagy mappához sem a KeePass könyvtárban, és a KeePass .exe fájl és a kényszerített konfigurációs fájl ugyanabban mappát.
És ha nem érzi kényelmesnek a KeePass használatának folytatását, rengeteg más lehetőség is van. Próbáljon meg valamelyikre váltani legjobb jelszókezelők hogy bejelentkezési adatait és hitelkártyaadatait minden eddiginél nagyobb biztonságban tartsa.
Bár ez kétségtelenül inkább rossz hír a jelszókezelők világának, ezeket az alkalmazásokat mégis érdemes használni. Segíthetnek létrehozni erős, egyedi jelszavak amelyek az összes eszközén titkosítva vannak. Ez sokkal biztonságosabb, mint minden fiókhoz az „123456” számot használja.
Szerkesztői ajánlások
- Ez a kritikus kizsákmányolás lehetővé teheti a hackerek számára, hogy megkerüljék a Mac védelmét
- A hackerek ellophatták egy másik jelszókezelő főkulcsát
- Nem, az 1Password-ot nem törték fel – ez történt valójában
- Ha ezt az ingyenes jelszókezelőt használja, jelszavai veszélybe kerülhetnek
- A LastPass feltárja, hogyan törték fel – és ez nem jó hír
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
