To było kilka kiepskich miesięcy dla menedżerów haseł – choć głównie tylko dla LastPass. Ale po rewelacjach, które miał LastPass doznał poważnego naruszenia, uwaga skupia się teraz na menedżerze open source KeePass.
Zawartość
- Nie zostanie to naprawione
- Co możesz zrobić?
Pojawiły się oskarżenia, że nowa luka umożliwia hakerom potajemną kradzież całej bazy danych haseł użytkownika w postaci niezaszyfrowanego zwykłego tekstu. To niezwykle poważne twierdzenie, ale twórcy KeePass je kwestionują.
KeePass jest oprogramowaniem typu open source menedżer haseł który przechowuje swoją zawartość na urządzeniu użytkownika, a nie w chmurze, jak oferty konkurencji. Jednakże, podobnie jak wiele innych aplikacji, magazyn haseł może być chroniony hasłem głównym.
Powiązany
- Te żenujące hasła zostały zhakowane przez celebrytów
- Właśnie udostępniliśmy to ważne narzędzie zabezpieczające Gmaila całkowicie za darmo
- NordPass dodaje obsługę kluczy, aby wyeliminować słabe hasła
Luka zarejestrowana jako
CVE-2023-24055, jest dostępny dla każdego, kto ma uprawnienia do zapisu w systemie użytkownika. Po uzyskaniu tych informacji osoba zagrażająca może dodać polecenia do pliku konfiguracyjnego XML KeePass automatycznie eksportuje bazę danych aplikacji – zawierającą wszystkie nazwy użytkowników i hasła – do niezaszyfrowanego pliku plik tekstowy.Polecane filmy
Dzięki zmianom dokonanym w pliku XML cały proces odbywa się automatycznie w tle, dzięki czemu użytkownicy nie są powiadamiani o wyeksportowaniu ich bazy danych. Osoba zagrażająca może następnie wyodrębnić wyeksportowaną bazę danych na kontrolowany przez siebie komputer lub serwer.
Nie zostanie to naprawione
Jednak twórcy KeePass od dawna kwestionują klasyfikację tego procesu jako luki w zabezpieczeniach kto ma dostęp do zapisu na urządzeniu, może dostać się do bazy danych haseł przy użyciu różnych (czasami prostszych) metody.
Innymi słowy, gdy ktoś uzyska dostęp do Twojego urządzenia, tego rodzaju exploit XML jest niepotrzebny. Atakujący mogą na przykład zainstalować keylogger w celu uzyskania hasła głównego. Rozumowanie jest takie, że martwienie się tego rodzaju atakiem jest jak zamykanie drzwi, gdy koń ucieknie. Jeśli osoba atakująca uzyska dostęp do Twojego komputera, naprawienie exploita XML nie pomoże.
Rozwiązaniem, jak twierdzą twórcy, jest „zapewnienie bezpieczeństwa środowiska (poprzez użycie oprogramowania antywirusowego, firewalla, nieotwieranie nieznanych załączników do e-maili itp.). KeePass nie może w magiczny sposób działać bezpiecznie w niepewnym środowisku.”
Co możesz zrobić?
Chociaż programiści KeePass nie chcą rozwiązać problemu, istnieją kroki, które możesz podjąć samodzielnie. Najlepiej jest stworzyć tzw wymuszony plik konfiguracyjny. Będzie to miało pierwszeństwo przed innymi plikami konfiguracyjnymi, ograniczając wszelkie złośliwe zmiany wprowadzone przez siły zewnętrzne (takie jak te wykorzystywane w luce w zabezpieczeniach eksportu bazy danych).
Musisz także upewnić się, że zwykli użytkownicy nie mają dostępu do zapisu w żadnych ważnych plikach lub folderach w katalogu KeePass i że zarówno plik KeePass .exe, jak i wymuszony plik konfiguracyjny znajdują się w tym samym teczka.
A jeśli nie czujesz się komfortowo, kontynuując korzystanie z KeePass, istnieje wiele innych opcji. Spróbuj przełączyć się na jeden z najlepsi menedżerowie haseł aby Twoje loginy i dane karty kredytowej były bezpieczniejsze niż kiedykolwiek.
Chociaż jest to niewątpliwie kolejna zła wiadomość dla świata menedżerów haseł, nadal warto korzystać z tych aplikacji. Pomogą Ci stworzyć silne, unikalne hasła które są szyfrowane na wszystkich Twoich urządzeniach. To o wiele bezpieczniejsze niż używając „123456” dla każdego konta.
Zalecenia redaktorów
- Ten krytyczny exploit może pozwolić hakerom ominąć zabezpieczenia komputera Mac
- Hakerzy mogli ukraść klucz główny do innego menedżera haseł
- Nie, 1Password nie zostało zhakowane – oto, co naprawdę się wydarzyło
- Jeśli korzystasz z tego bezpłatnego menedżera haseł, Twoje hasła mogą być zagrożone
- LastPass ujawnia, w jaki sposób został zhakowany — i nie jest to dobra wiadomość
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
