Tai buvo blogi keli mėnesiai slaptažodžių tvarkytojams – nors dažniausiai tik „LastPass“. Tačiau po apreiškimų, kuriuos turėjo LastPass patyrė didelį pažeidimą, dėmesys dabar krypsta į atvirojo kodo tvarkyklę KeePass.
Turinys
- Jis nebus pataisytas
- Ką tu gali padaryti?
Sklinda kaltinimai, kad naujas pažeidžiamumas leidžia įsilaužėliams slapta pavogti visą vartotojo slaptažodžių duomenų bazę nešifruotu paprastu tekstu. Tai neįtikėtinai rimtas teiginys, tačiau „KeePass“ kūrėjai tai ginčija.
KeePass yra atvirojo kodo slaptažodžių tvarkyklė kuri saugo savo turinį vartotojo įrenginyje, o ne debesyje, kaip konkurentų pasiūlymai. Tačiau, kaip ir daugelis kitų programų, jos slaptažodžių saugykla gali būti apsaugota pagrindiniu slaptažodžiu.
Susijęs
- Dėl šių gėdingų slaptažodžių buvo nulaužtos įžymybės
- „Google“ ką tik padarė šį gyvybiškai svarbų „Gmail“ saugos įrankį visiškai nemokamą
- „NordPass“ prideda prieigos rakto palaikymą, kad pašalintų jūsų silpnus slaptažodžius
Pažeidžiamumas, užregistruotas kaip
CVE-2023-24055, yra prieinamas visiems, turintiems rašymo prieigą prie vartotojo sistemos. Kai tai bus gauta, grėsmės veikėjas gali pridėti komandų į KeePass XML konfigūracijos failą, automatiškai eksportuoti programos duomenų bazę, įskaitant visus naudotojų vardus ir slaptažodžius, į nešifruotą paprasto teksto failą.Rekomenduojami vaizdo įrašai
Dėl XML failo pakeitimų visas procesas vyksta automatiškai fone, todėl vartotojai neįspėjami, kad jų duomenų bazė buvo eksportuota. Tada grėsmės veikėjas gali išskleisti eksportuotą duomenų bazę į savo valdomą kompiuterį arba serverį.
Jis nebus pataisytas
Tačiau „KeePass“ kūrėjai užginčijo proceso klasifikavimą kaip pažeidžiamumą, nes bet kas kas turi rašymo prieigą prie įrenginio, gali susipažinti su slaptažodžių duomenų baze naudodami kitą (kartais paprastesnę) metodus.
Kitaip tariant, kai kas nors turi prieigą prie jūsų įrenginio, toks XML išnaudojimas yra nereikalingas. Pvz., užpuolikai gali įdiegti klavišų kaupiklį, kad gautų pagrindinį slaptažodį. Manoma, kad nerimauti dėl tokio išpuolio prilygsta durų uždarymui po to, kai arklys užsiveržė. Jei užpuolikas turi prieigą prie jūsų kompiuterio, XML išnaudojimo taisymas nepadės.
Kūrėjai teigia, kad sprendimas yra „aplinkos saugojimas (naudojant antivirusinę programinę įrangą, užkardą, neatidarant nežinomų el. pašto priedų ir pan.). „KeePass“ negali stebuklingai veikti saugiai nesaugioje aplinkoje.
Ką tu gali padaryti?
Nors atrodo, kad „KeePass“ kūrėjai nenori išspręsti problemos, yra veiksmų, kurių galite imtis patys. Geriausias dalykas yra sukurti an priverstinis konfigūracijos failas. Tai bus viršesnė už kitus konfigūracijos failus, sumažinant bet kokius kenkėjiškus išorės jėgų padarytus pakeitimus (pvz., naudojamus duomenų bazės eksporto pažeidžiamumui).
Taip pat turėsite įsitikinti, kad įprasti vartotojai neturi rašymo prieigos prie svarbių failų ar aplankų KeePass kataloge ir kad KeePass .exe failas ir priverstinės konfigūracijos failas yra tame pačiame aplanką.
Ir jei nesijaučiate patogiai toliau naudoti KeePass, yra daugybė kitų galimybių. Pabandykite perjungti į vieną iš geriausi slaptažodžių tvarkytojai kad jūsų prisijungimai ir kredito kortelės duomenys būtų saugūs nei bet kada anksčiau.
Nors tai neabejotinai blogesnė žinia slaptažodžių tvarkytuvų pasauliui, šiomis programėlėmis vis tiek verta naudotis. Jie gali padėti jums sukurti stiprūs, unikalūs slaptažodžiai kurie yra užšifruoti visuose jūsų įrenginiuose. Tai daug saugiau nei naudojant „123456“ kiekvienai paskyrai.
Redaktorių rekomendacijos
- Šis svarbus išnaudojimas gali leisti įsilaužėliams apeiti jūsų „Mac“ apsaugą
- Įsilaužėliai galėjo pavogti pagrindinį raktą į kitą slaptažodžių tvarkyklę
- Ne, 1 slaptažodis nebuvo nulaužtas – štai kas iš tikrųjų atsitiko
- Jei naudosite šią nemokamą slaptažodžių tvarkyklę, jūsų slaptažodžiams gali kilti pavojus
- „LastPass“ atskleidžia, kaip į jį buvo įsilaužta – ir tai nėra gera žinia
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį, kuriame pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
