Sono stati mesi brutti per i gestori di password, anche se soprattutto solo per LastPass. Ma dopo le rivelazioni avute da LastPass subito una grave violazione, l'attenzione si sta ora rivolgendo al gestore open source KeePass.
Contenuti
- Non sarà risolto
- Cosa sai fare?
Sono circolate accuse secondo cui una nuova vulnerabilità consente agli hacker di rubare di nascosto l’intero database delle password di un utente in testo semplice non crittografato. Questa è un'affermazione incredibilmente seria, ma gli sviluppatori di KeePass la stanno contestando.
KeePass è un open source gestore delle password che memorizza i suoi contenuti sul dispositivo di un utente, piuttosto che nel cloud come le offerte rivali. Come molte altre app, tuttavia, la sua cassaforte di password può essere protetta con una password principale.
Imparentato
- Queste password imbarazzanti hanno fatto hackerare le celebrità
- Google ha appena reso questo fondamentale strumento di sicurezza di Gmail completamente gratuito
- NordPass aggiunge il supporto per la passkey per eliminare le tue password deboli
La vulnerabilità, registrata come CVE-2023-24055, è disponibile per chiunque abbia accesso in scrittura al sistema di un utente. Una volta ottenuto ciò, un attore della minaccia può aggiungere comandi al file di configurazione XML di KeePass esporta automaticamente il database dell'app, inclusi tutti i nomi utente e le password, in un formato non crittografato file di testo in chiaro.
Video consigliati
Grazie alle modifiche apportate al file XML, il processo viene eseguito automaticamente in background, quindi gli utenti non vengono avvisati che il loro database è stato esportato. L'autore della minaccia può quindi estrarre il database esportato su un computer o server che controlla.
Non sarà risolto
Tuttavia, gli sviluppatori di KeePass hanno contestato da chiunque la classificazione del processo come una vulnerabilità chi ha accesso in scrittura ad un dispositivo può mettere le mani sul database delle password utilizzando diversi (a volte più semplici) metodi.
In altre parole, una volta che qualcuno ha accesso al tuo dispositivo, questo tipo di exploit XML non è più necessario. Gli aggressori potrebbero, ad esempio, installare un keylogger per ottenere la password principale. Il ragionamento è che preoccuparsi di questo tipo di attacco è come chiudere la porta dopo che i buoi sono scappati. Se un utente malintenzionato ha accesso al tuo computer, correggere l’exploit XML non aiuterà.
La soluzione, sostengono gli sviluppatori, è “mantenere l'ambiente sicuro (utilizzando un software antivirus, un firewall, non aprendo allegati di posta elettronica sconosciuti, ecc.). KeePass non può magicamente funzionare in modo sicuro in un ambiente non sicuro."
Cosa sai fare?
Sebbene gli sviluppatori di KeePass non sembrino disposti a risolvere il problema, ci sono dei passaggi che puoi eseguire da solo. La cosa migliore da fare è creare un file file di configurazione forzata. Ciò avrà la precedenza sugli altri file di configurazione, mitigando eventuali modifiche dannose apportate da forze esterne (come quella utilizzata nella vulnerabilità di esportazione del database).
Dovrai inoltre assicurarti che gli utenti regolari non abbiano accesso in scrittura a file o cartelle importanti contenuti all'interno della directory KeePass e che sia il file KeePass .exe che il file di configurazione forzata si trovino nello stesso cartella.
E se non ti senti a tuo agio nel continuare a utilizzare KeePass, ci sono molte altre opzioni. Prova a passare a uno dei i migliori gestori di password per mantenere i tuoi accessi e i dettagli della carta di credito più sicuri che mai.
Anche se questa è senza dubbio una brutta notizia per il mondo dei gestori di password, vale comunque la pena utilizzare queste app. Possono aiutarti a creare password complesse e univoche che sono crittografati su tutti i tuoi dispositivi. È molto più sicuro di utilizzando "123456" per ogni account.
Raccomandazioni degli editori
- Questo exploit critico potrebbe consentire agli hacker di aggirare le difese del tuo Mac
- Gli hacker potrebbero aver rubato la chiave principale di un altro gestore di password
- No, 1Password non è stato violato: ecco cosa è realmente successo
- Se utilizzi questo gestore di password gratuito, le tue password potrebbero essere a rischio
- LastPass rivela come è stato violato e non è una buona notizia
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
