Det har vært noen dårlige måneder for passordbehandlere - om enn for det meste bare for LastPass. Men etter avsløringene som LastPass hadde fikk et større brudd, er oppmerksomheten nå rettet mot åpen kildekode-manager KeePass.
Innhold
- Det vil ikke bli fikset
- Hva kan du gjøre?
Det har vært anklager om at en ny sårbarhet lar hackere i det skjulte stjele en brukers hele passorddatabase i ukryptert klartekst. Det er en utrolig alvorlig påstand, men KeePass sine utviklere bestrider det.
KeePass er en åpen kildekode passordbehandler som lagrer innholdet på en brukers enhet, i stedet for i skyen som konkurrerende tilbud. Som mange andre apper kan imidlertid passordhvelvet beskyttes med et hovedpassord.
I slekt
- Disse pinlige passordene fikk kjendiser til å hacke
- Google har nettopp gjort dette viktige sikkerhetsverktøyet for Gmail helt gratis
- NordPass legger til passordstøtte for å forvise dine svake passord
Sårbarheten, logget som CVE-2023-24055, er tilgjengelig for alle med skrivetilgang til en brukers system. Når det er oppnådd, kan en trusselaktør legge til kommandoer til KeePass sin XML-konfigurasjonsfil som eksporter automatisk appens database – inkludert alle brukernavn og passord – til en ukryptert ren tekstfil.
Anbefalte videoer
Takket være endringene som er gjort i XML-filen, gjøres prosessen automatisk i bakgrunnen, slik at brukere ikke blir varslet om at databasen deres er eksportert. Trusselaktøren kan deretter trekke ut den eksporterte databasen til en datamaskin eller server de kontrollerer.
Det vil ikke bli fikset
Utviklerne av KeePass har imidlertid bestridt klassifiseringen av prosessen som en sårbarhet, siden noen som har skrivetilgang til en enhet kan få tak i passorddatabasen ved å bruke forskjellige (noen ganger enklere) metoder.
Med andre ord, når noen har tilgang til enheten din, er denne typen XML-utnyttelse unødvendig. Angripere kan installere en keylogger for å få hovedpassordet, for eksempel. Resonnementet er at å bekymre seg for denne typen angrep er som å lukke døren etter at hesten har låst seg. Hvis en angriper har tilgang til datamaskinen din, hjelper det ikke å fikse XML-utnyttelsen.
Løsningen, hevder utviklerne, er "å holde miljøet sikkert (ved å bruke en antivirusprogramvare, en brannmur, ikke åpne ukjente e-postvedlegg, etc.). KeePass kan ikke på magisk vis kjøre sikkert i et usikkert miljø.»
Hva kan du gjøre?
Mens KeePass-utviklerne ser ut til å være uvillige til å fikse problemet, er det trinn du kan ta selv. Det beste du kan gjøre er å lage en tvungen konfigurasjonsfil. Dette vil ha forrang over andre konfigurasjonsfiler, og redusere eventuelle ondsinnede endringer gjort av eksterne krefter (som den som brukes i databasens eksportsårbarhet).
Du må også sørge for at vanlige brukere ikke har skrivetilgang til viktige filer eller mapper i KeePass-katalogen, og at både KeePass .exe-filen og den tvungne konfigurasjonsfilen er i samme mappe.
Og hvis du ikke føler deg komfortabel med å fortsette å bruke KeePass, er det mange andre alternativer. Prøv å bytte til en av beste passordbehandlere for å holde påloggingsinformasjonen og kredittkortopplysningene dine tryggere enn noen gang.
Selv om dette utvilsomt er mer dårlige nyheter for verden av passordbehandlere, er disse appene fortsatt verdt å bruke. De kan hjelpe deg med å lage sterke, unike passord som er kryptert på alle enhetene dine. Det er langt tryggere enn ved å bruke "123456" for hver konto.
Redaktørenes anbefalinger
- Denne kritiske utnyttelsen kan la hackere omgå Mac-ens forsvar
- Hackere kan ha stjålet hovednøkkelen til en annen passordbehandler
- Nei, 1Password ble ikke hacket – her er hva som virkelig skjedde
- Hvis du bruker denne gratis passordbehandleren, kan passordene dine være i fare
- LastPass avslører hvordan det ble hacket - og det er ikke gode nyheter
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
