Beberapa bulan ini merupakan bulan yang buruk bagi pengelola kata sandi — meskipun sebagian besar hanya untuk LastPass. Tapi setelah wahyu yang dimiliki LastPass mengalami pelanggaran besar, perhatian kini beralih ke manajer sumber terbuka KeePass.
Isi
- Itu tidak akan diperbaiki
- Apa yang bisa kau lakukan?
Tuduhan telah beredar bahwa kerentanan baru memungkinkan peretas untuk secara diam-diam mencuri seluruh basis data kata sandi pengguna dalam teks biasa yang tidak terenkripsi. Klaim tersebut sangat serius, namun pengembang KeePass membantahnya.
KeePass adalah sumber terbuka pengelola kata sandi yang menyimpan kontennya di perangkat pengguna, bukan di cloud seperti penawaran pesaing. Namun, seperti banyak aplikasi lainnya, brankas kata sandinya dapat dilindungi dengan kata sandi utama.
Terkait
- Kata sandi yang memalukan ini membuat para selebriti diretas
- Google baru saja menjadikan alat keamanan penting Gmail ini sepenuhnya gratis
- NordPass menambahkan dukungan kunci sandi untuk menghapus kata sandi Anda yang lemah
Kerentanannya, dicatat sebagai CVE-2023-24055, tersedia bagi siapa saja yang memiliki akses tulis ke sistem pengguna. Setelah itu diperoleh, pelaku ancaman dapat menambahkan perintah ke file konfigurasi XML KeePass itu secara otomatis mengekspor database aplikasi — termasuk semua nama pengguna dan kata sandi — menjadi tidak terenkripsi file teks biasa.
Video yang Direkomendasikan
Berkat perubahan yang dilakukan pada file XML, semua proses dilakukan secara otomatis di latar belakang, sehingga pengguna tidak diberi tahu bahwa database mereka telah diekspor. Pelaku ancaman kemudian dapat mengekstrak database yang diekspor ke komputer atau server yang mereka kendalikan.
Itu tidak akan diperbaiki
Namun, pengembang KeePass telah membantah klasifikasi proses tersebut sebagai kerentanan yang memiliki akses tulis ke suatu perangkat dapat memperoleh basis data kata sandi menggunakan cara yang berbeda (terkadang lebih sederhana) metode.
Dengan kata lain, begitu seseorang memiliki akses ke perangkat Anda, eksploitasi XML semacam ini tidak diperlukan. Penyerang dapat memasang keylogger untuk mendapatkan kata sandi utama, misalnya. Alasannya adalah mengkhawatirkan serangan semacam ini seperti menutup pintu setelah kudanya lari. Jika penyerang memiliki akses ke komputer Anda, memperbaiki eksploitasi XML tidak akan membantu.
Solusinya, menurut para pengembang, adalah “menjaga keamanan lingkungan (dengan menggunakan perangkat lunak anti-virus, firewall, tidak membuka lampiran email yang tidak dikenal, dll.). KeePass tidak bisa secara ajaib berjalan dengan aman di lingkungan yang tidak aman.”
Apa yang bisa kau lakukan?
Meskipun pengembang KeePass tampaknya tidak bersedia memperbaiki masalah ini, ada beberapa langkah yang dapat Anda ambil sendiri. Hal terbaik untuk dilakukan adalah membuat file konfigurasi yang diberlakukan. Ini akan lebih diutamakan dibandingkan file konfigurasi lainnya, sehingga mengurangi segala perubahan berbahaya yang dilakukan oleh kekuatan luar (seperti yang digunakan dalam kerentanan ekspor database).
Anda juga harus memastikan pengguna biasa tidak memiliki akses tulis ke file atau folder penting apa pun yang ada di dalamnya dalam direktori KeePass, dan file .exe KeePass dan file konfigurasi yang diterapkan berada di tempat yang sama map.
Dan jika Anda merasa tidak nyaman untuk terus menggunakan KeePass, ada banyak pilihan lain. Coba beralih ke salah satu pengelola kata sandi terbaik untuk menjaga login dan detail kartu kredit Anda lebih aman dari sebelumnya.
Meskipun ini jelas merupakan berita buruk bagi dunia pengelola kata sandi, aplikasi ini masih layak untuk digunakan. Mereka dapat membantu Anda berkreasi kata sandi yang kuat dan unik yang dienkripsi di semua perangkat Anda. Itu jauh lebih aman daripada menggunakan “123456” untuk setiap akun.
Rekomendasi Editor
- Eksploitasi kritis ini dapat membuat peretas menerobos pertahanan Mac Anda
- Peretas mungkin telah mencuri kunci utama pengelola kata sandi lain
- Tidak, 1Password tidak diretas – inilah yang sebenarnya terjadi
- Jika Anda menggunakan pengelola kata sandi gratis ini, kata sandi Anda mungkin berisiko
- LastPass mengungkapkan cara peretasannya — dan ini bukan kabar baik
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
