대부분 LastPass에만 해당되지만 비밀번호 관리자에게는 좋지 않은 몇 달이었습니다. 그러나 LastPass가 폭로된 이후 중대한 위반을 당했다, 이제 오픈 소스 관리자인 KeePass에 관심이 쏠리고 있습니다.
내용물
- 고쳐지지 않을 거예요
- 당신은 무엇을 할 수 있나요?
새로운 취약점으로 인해 해커가 암호화되지 않은 일반 텍스트로 사용자의 전체 비밀번호 데이터베이스를 은밀하게 훔칠 수 있다는 비난이 이어지고 있습니다. 이는 엄청나게 심각한 주장이지만 KeePass 개발자들은 이에 대해 이의를 제기하고 있습니다.
KeePass는 오픈 소스입니다. 비밀번호 관리자 경쟁 제품처럼 클라우드가 아닌 사용자의 장치에 콘텐츠를 저장하는 것입니다. 그러나 다른 많은 앱과 마찬가지로 비밀번호 저장소는 마스터 비밀번호로 보호될 수 있습니다.
관련된
- 이 당혹스러운 비밀번호 때문에 유명인들이 해킹당했습니다.
- Google은 이 중요한 Gmail 보안 도구를 완전히 무료로 만들었습니다.
- NordPass는 취약한 비밀번호를 제거하기 위해 비밀번호 키 지원을 추가합니다.
취약점은 다음과 같이 기록됩니다. CVE-2023-24055는 사용자 시스템에 대한 쓰기 액세스 권한이 있는 모든 사람이 사용할 수 있습니다. 이를 획득하면 위협 행위자는 KeePass의 XML 구성 파일에 다음과 같은 명령을 추가할 수 있습니다. 모든 사용자 이름과 비밀번호를 포함한 앱의 데이터베이스를 암호화되지 않은 데이터베이스로 자동으로 내보냅니다. 일반 텍스트 파일.
추천 동영상
XML 파일에 대한 변경 사항 덕분에 프로세스는 모두 백그라운드에서 자동으로 수행되므로 사용자는 데이터베이스를 내보냈다는 경고를 받지 않습니다. 그런 다음 위협 행위자는 내보낸 데이터베이스를 자신이 제어하는 컴퓨터나 서버로 추출할 수 있습니다.
고쳐지지 않을 거예요
그러나 KeePass 개발자는 프로세스를 취약점으로 분류하는 것에 대해 이의를 제기했습니다. 장치에 대한 쓰기 액세스 권한이 있는 사람은 다른 방법(때로는 더 간단함)을 사용하여 비밀번호 데이터베이스에 접근할 수 있습니다. 행동 양식.
즉, 누군가가 귀하의 장치에 액세스하면 이러한 종류의 XML 악용은 필요하지 않습니다. 예를 들어, 공격자는 마스터 비밀번호를 얻기 위해 키로거를 설치할 수 있습니다. 이러한 종류의 공격에 대해 걱정하는 것은 말이 도망친 후에 문을 닫는 것과 같다는 추론입니다. 공격자가 컴퓨터에 액세스할 수 있는 경우 XML 악용을 수정해도 도움이 되지 않습니다.
개발자들은 솔루션이 "환경을 안전하게 유지하는 것(바이러스 백신 소프트웨어, 방화벽 사용, 알 수 없는 이메일 첨부 파일 열지 않음 등)"이라고 주장합니다. KeePass는 안전하지 않은 환경에서는 마술처럼 안전하게 실행될 수 없습니다.”
당신은 무엇을 할 수 있나요?
KeePass 개발자가 문제를 해결하려고 하지 않는 것처럼 보이지만 직접 취할 수 있는 조치가 있습니다. 가장 좋은 방법은 강제 구성 파일. 이는 다른 구성 파일보다 우선하여 외부 힘에 의한 악의적인 변경(예: 데이터베이스 내보내기 취약점에 사용되는 변경)을 완화합니다.
또한 일반 사용자가 포함된 중요한 파일이나 폴더에 대한 쓰기 액세스 권한을 갖고 있지 않은지 확인해야 합니다. KeePass 디렉토리 내에 있고 KeePass .exe 파일과 강제 구성 파일이 모두 동일한 위치에 있는지 확인하십시오. 폴더.
KeePass를 계속 사용하는 것이 불편하다면 다른 옵션도 많이 있습니다. 다음 중 하나로 전환해 보세요. 최고의 비밀번호 관리자 귀하의 로그인 및 신용 카드 정보를 그 어느 때보다 안전하게 유지하십시오.
이는 의심할 여지 없이 비밀번호 관리자 세계에 더 나쁜 소식이지만, 이러한 앱은 여전히 사용할 가치가 있습니다. 그들은 당신이 창조하는 데 도움을 줄 수 있습니다 강력하고 고유한 비밀번호 귀하의 모든 장치에서 암호화됩니다. 그보다 훨씬 안전해요 모든 계정에 "123456" 사용.
편집자의 추천
- 이 중요한 악용으로 인해 해커가 Mac의 방어를 우회할 수 있습니다.
- 해커가 다른 비밀번호 관리자의 마스터 키를 훔쳤을 수 있습니다.
- 아니요, 1Password는 해킹되지 않았습니다. 실제로 일어난 일은 다음과 같습니다.
- 이 무료 비밀번호 관리자를 사용하면 비밀번호가 위험해질 수 있습니다
- LastPass가 어떻게 해킹되었는지 공개합니다. 좋은 소식은 아닙니다.
당신의 라이프스타일을 업그레이드하세요Digital Trends는 독자들이 모든 최신 뉴스, 재미있는 제품 리뷰, 통찰력 있는 사설 및 독특한 미리보기를 통해 빠르게 변화하는 기술 세계를 계속해서 살펴볼 수 있도록 도와줍니다.
