עברו כמה חודשים רעים עבור מנהלי סיסמאות - אם כי בעיקר רק עבור LastPass. אבל אחרי הגילויים שהיו ל-LastPass סבל מפרצה גדולה, תשומת הלב פונה כעת למנהל הקוד הפתוח KeePass.
תוכן
- זה לא יתוקן
- מה אתה יכול לעשות?
ההאשמות עופות לפיהן פגיעות חדשה מאפשרת להאקרים לגנוב בחשאי את כל מסד הנתונים של סיסמא של משתמש בטקסט רגיל לא מוצפן. זו טענה רצינית להפליא, אבל המפתחים של KeePass חולקים עליה.
KeePass הוא קוד פתוח מנהל סיסמאות שמאחסן את התוכן שלו במכשיר של משתמש, ולא בענן כמו הצעות מתחרות. עם זאת, כמו אפליקציות רבות אחרות, ניתן להגן על כספת הסיסמאות שלו באמצעות סיסמת אב.
קָשׁוּר
- הסיסמאות המביכות האלה גרמו לסלבריטאים לפרוץ
- גוגל פשוט הפכה את כלי האבטחה החיוני הזה של Gmail בחינם לחלוטין
- NordPass מוסיף תמיכה במפתח סיסמה כדי לגרש את הסיסמאות החלשות שלך
הפגיעות, נרשמת בשם CVE-2023-24055, זמין לכל מי שיש לו גישת כתיבה למערכת של משתמש. ברגע שזה הושג, שחקן איום יכול להוסיף פקודות לקובץ התצורה של ה-XML של KeePass ייצא אוטומטית את מסד הנתונים של האפליקציה - כולל כל שמות המשתמש והסיסמאות - לקובץ לא מוצפן קובץ טקסט רגיל.
סרטונים מומלצים
הודות לשינויים שבוצעו בקובץ ה-XML, התהליך כולו נעשה באופן אוטומטי ברקע, כך שהמשתמשים לא מקבלים התראה על ייצוא מסד הנתונים שלהם. לאחר מכן, שחקן האיום יכול לחלץ את מסד הנתונים המיוצא למחשב או לשרת שהם שולטים בהם.
זה לא יתוקן
עם זאת, המפתחים של KeePass חלקו על סיווג התהליך כנקודת תורפה, מאחר שמישהו מי שיש לו גישת כתיבה למכשיר יכול לשים יד על מסד הנתונים של הסיסמאות באמצעות שונה (לעיתים פשוט יותר) שיטות.
במילים אחרות, ברגע שלמישהו יש גישה למכשיר שלך, ניצול XML זה מיותר. תוקפים יכולים להתקין keylogger כדי לקבל את סיסמת האב, למשל. קו ההיגיון הוא שדאגה מהתקפה מהסוג הזה היא כמו לסגור את הדלת לאחר שהסוס נברח. אם לתוקף יש גישה למחשב שלך, תיקון ניצול ה-XML לא יעזור.
הפתרון, טוענים המפתחים, הוא "שמירה על אבטחת הסביבה (על ידי שימוש בתוכנת אנטי וירוס, חומת אש, אי פתיחת קבצים מצורפים לאימייל לא ידועים וכו'). KeePass לא יכול לפעול בצורה מאובטחת בסביבה לא מאובטחת."
מה אתה יכול לעשות?
למרות שהמפתחים של KeePass לא מוכנים לתקן את הבעיה, ישנם צעדים שאתה יכול לנקוט בעצמך. הדבר הטוב ביותר לעשות הוא ליצור קובץ תצורה נאכף. זה יקבל עדיפות על פני קובצי תצורה אחרים, ויפחית שינויים זדוניים שנעשו על ידי כוחות חיצוניים (כגון זה המשמש בפגיעות הייצוא של מסד הנתונים).
תצטרך גם לוודא שלמשתמשים רגילים אין גישת כתיבה לכל קבצים או תיקיות חשובים הכלולים בתוך ספריית KeePass, ושגם קובץ ה-.exe של KeePass וגם קובץ התצורה האכיפה נמצאים באותו תיקייה.
ואם אתה לא מרגיש בנוח להמשיך להשתמש ב- KeePass, יש הרבה אפשרויות אחרות. נסה לעבור לאחד מה מנהלי הסיסמאות הטובים ביותר כדי לשמור על פרטי ההתחברות ופרטי כרטיס האשראי שלך בטוחים מאי פעם.
אמנם אלו ללא ספק חדשות רעות יותר לעולם מנהלי הסיסמאות, אך עדיין כדאי להשתמש באפליקציות הללו. הם יכולים לעזור לך ליצור סיסמאות חזקות וייחודיות המוצפנים בכל המכשירים שלך. זה הרבה יותר בטוח מאשר באמצעות "123456" עבור כל חשבון.
המלצות עורכים
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- ייתכן שהאקרים גנבו את המפתח הראשי למנהל סיסמאות אחר
- לא, 1Password לא נפרץ - הנה מה שבאמת קרה
- אם אתה משתמש במנהל הסיסמאות החינמי הזה, הסיסמאות שלך עלולות להיות בסיכון
- LastPass חושף כיצד הוא נפרץ - וזה לא חדשות טובות
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
