Daži mēneši paroļu pārvaldniekiem ir bijuši slikti, lai gan galvenokārt tikai LastPass. Bet pēc LastPass atklājumiem cieta nopietnu pārkāpumu, uzmanība tagad tiek pievērsta atvērtā koda pārvaldniekam KeePass.
Saturs
- Tas netiks labots
- Ko tu vari izdarīt?
Izskan apsūdzības, ka jauna ievainojamība ļauj hakeriem slepus nozagt visu lietotāja paroļu datubāzi nešifrētā vienkāršā tekstā. Tas ir neticami nopietns apgalvojums, taču KeePass izstrādātāji to apstrīd.
KeePass ir atvērtā koda programma paroļu pārvaldnieks kas saglabā savu saturu lietotāja ierīcē, nevis mākonī, piemēram, konkurentu piedāvājumos. Tomēr, tāpat kā daudzas citas lietotnes, tās paroļu glabātuvi var aizsargāt ar galveno paroli.
Saistīts
- Šīs apkaunojošās paroles uzlauza slavenības
- Google tikko padarīja šo svarīgo Gmail drošības rīku pilnīgi bez maksas
- NordPass pievieno piekļuves atslēgu atbalstu, lai izraidītu jūsu vājās paroles
Ievainojamība, reģistrēta kā CVE-2023-24055, ir pieejams ikvienam, kam ir rakstīšanas piekļuve lietotāja sistēmai. Kad tas ir iegūts, draudu dalībnieks var pievienot komandas KeePass XML konfigurācijas failam, kas automātiski eksportēt lietotnes datu bāzi, tostarp visus lietotājvārdus un paroles, nešifrētā datu bāzē vienkārša teksta fails.
Ieteiktie videoklipi
Pateicoties XML failā veiktajām izmaiņām, viss process tiek veikts automātiski fonā, tāpēc lietotāji netiek brīdināti, ka viņu datu bāze ir eksportēta. Pēc tam draudu dalībnieks var iegūt eksportēto datu bāzi savā kontrolētajā datorā vai serverī.
Tas netiks labots
Tomēr KeePass izstrādātāji ir apstrīdējuši procesa klasificēšanu kā ievainojamību, jo ikviens kam ir rakstīšanas piekļuve ierīcei, paroļu datu bāzei var piekļūt, izmantojot dažādas (dažreiz vienkāršākas) metodes.
Citiem vārdiem sakot, ja kādam ir piekļuve jūsu ierīcei, šāda veida XML izmantošana nav nepieciešama. Uzbrucēji varētu instalēt taustiņu bloķētāju, lai iegūtu, piemēram, galveno paroli. Sprieduma līnija ir tāda, ka uztraukties par šāda veida uzbrukumu ir tas pats, kas aizvērt durvis pēc tam, kad zirgs ir aizskrūvēts. Ja uzbrucējam ir piekļuve jūsu datoram, XML ļaunprātīgas izmantošanas novēršana nepalīdzēs.
Izstrādātāji apgalvo, ka risinājums ir “vides drošības uzturēšana (izmantojot pretvīrusu programmatūru, ugunsmūri, neatverot nezināmus e-pasta pielikumus utt.). KeePass nevar maģiski darboties droši nedrošā vidē.
Ko tu vari izdarīt?
Lai gan šķiet, ka KeePass izstrādātāji nevēlas novērst problēmu, ir dažas darbības, kuras varat veikt pats. Vislabāk ir izveidot piespiedu konfigurācijas fails. Tam būs prioritāte pār citiem konfigurācijas failiem, mazinot jebkādas ļaunprātīgas izmaiņas, ko veikuši ārēji spēki (piemēram, datu bāzes eksportēšanas ievainojamības gadījumā).
Jums būs arī jāpārliecinās, ka parastajiem lietotājiem nav rakstīšanas piekļuves nevienam svarīgam failam vai mapei KeePass direktorijā un ka gan KeePass .exe fails, gan piespiedu konfigurācijas fails atrodas vienā un tajā pašā mapi.
Un, ja nejūtaties ērti turpināt lietot KeePass, ir daudz citu iespēju. Mēģiniet pārslēgties uz kādu no labākie paroļu pārvaldnieki lai jūsu pieteikumvārdi un kredītkaršu informācija būtu drošāka nekā jebkad agrāk.
Lai gan šīs, bez šaubām, ir vairāk sliktas ziņas paroļu pārvaldnieku pasaulei, šīs lietotnes joprojām ir vērts izmantot. Viņi var palīdzēt jums izveidot spēcīgas, unikālas paroles kas ir šifrēti visās jūsu ierīcēs. Tas ir daudz drošāk nekā katram kontam izmantojot “123456”..
Redaktoru ieteikumi
- Šī kritiskā izmantošana var ļaut hakeriem apiet jūsu Mac aizsardzību
- Iespējams, hakeri ir nozaguši cita paroļu pārvaldnieka galveno atslēgu
- Nē, 1Password netika uzlauzta — lūk, kas patiesībā notika
- Ja izmantojat šo bezmaksas paroļu pārvaldnieku, jūsu paroles var tikt apdraudētas
- LastPass atklāj, kā tas tika uzlauzts, un tās nav labas ziņas
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
