Os últimos meses têm sido ruins para os gerenciadores de senhas – embora principalmente apenas para o LastPass. Mas depois das revelações que o LastPass tinha sofreu uma violação grave, a atenção agora está voltada para o gerenciador de código aberto KeePass.
Conteúdo
- Não será consertado
- O que você pode fazer?
Têm surgido acusações de que uma nova vulnerabilidade permite que hackers roubem sub-repticiamente todo o banco de dados de senhas de um usuário em texto simples não criptografado. Essa é uma afirmação extremamente séria, mas os desenvolvedores do KeePass estão contestando isso.
KeePass é um código aberto gerenciador de senhas que armazena seu conteúdo no dispositivo do usuário, em vez de na nuvem, como as ofertas rivais. No entanto, como muitos outros aplicativos, seu cofre de senhas pode ser protegido com uma senha mestra.
Relacionado
- Essas senhas embaraçosas fizeram com que celebridades fossem hackeadas
- O Google acaba de tornar esta ferramenta vital de segurança do Gmail totalmente gratuita
- NordPass adiciona suporte a senha para banir suas senhas fracas
A vulnerabilidade, registrada como CVE-2023-24055, está disponível para qualquer pessoa com acesso de gravação ao sistema de um usuário. Uma vez obtido, um agente de ameaça pode adicionar comandos ao arquivo de configuração XML do KeePass que exportar automaticamente o banco de dados do aplicativo – incluindo todos os nomes de usuário e senhas – para um arquivo não criptografado arquivo de texto simples.
Vídeos recomendados
Graças às alterações feitas no arquivo XML, todo o processo é feito automaticamente em segundo plano, para que os usuários não sejam alertados de que seu banco de dados foi exportado. O agente da ameaça pode então extrair o banco de dados exportado para um computador ou servidor que ele controla.
Não será consertado
No entanto, os desenvolvedores do KeePass contestaram a classificação do processo como uma vulnerabilidade, uma vez que qualquer pessoa quem tem acesso de gravação a um dispositivo pode obter o banco de dados de senhas usando diferentes (às vezes mais simples) métodos.
Em outras palavras, uma vez que alguém tenha acesso ao seu dispositivo, esse tipo de exploração de XML é desnecessário. Os invasores podem instalar um keylogger para obter a senha mestra, por exemplo. A linha de raciocínio é que preocupar-se com esse tipo de ataque é como fechar a porta depois que o cavalo fugiu. Se um invasor tiver acesso ao seu computador, consertar a exploração XML não ajudará.
A solução, argumentam os desenvolvedores, é “manter o ambiente seguro (usando um software antivírus, um firewall, não abrindo anexos de e-mail desconhecidos, etc.). KeePass não pode funcionar magicamente com segurança em um ambiente inseguro.”
O que você pode fazer?
Embora os desenvolvedores do KeePass pareçam não querer corrigir o problema, existem etapas que você mesmo pode seguir. A melhor coisa a fazer é criar um arquivo de configuração imposta. Isso terá precedência sobre outros arquivos de configuração, mitigando quaisquer alterações maliciosas feitas por forças externas (como a usada na vulnerabilidade de exportação do banco de dados).
Você também precisará garantir que os usuários regulares não tenham acesso de gravação a nenhum arquivo ou pasta importante contida. dentro do diretório KeePass, e que tanto o arquivo KeePass .exe quanto o arquivo de configuração imposto estão no mesmo pasta.
E se você não se sentir confortável em continuar usando o KeePass, há muitas outras opções. Tente mudar para um dos melhores gerenciadores de senhas para manter seus logins e detalhes de cartão de crédito mais seguros do que nunca.
Embora esta seja, sem dúvida, mais uma má notícia para o mundo dos gerenciadores de senhas, ainda vale a pena usar esses aplicativos. Eles podem ajudá-lo a criar senhas fortes e exclusivas que são criptografados em todos os seus dispositivos. Isso é muito mais seguro do que usando “123456” para cada conta.
Recomendações dos Editores
- Esta exploração crítica pode permitir que hackers contornem as defesas do seu Mac
- Hackers podem ter roubado a chave mestra de outro gerenciador de senhas
- Não, o 1Password não foi hackeado – eis o que realmente aconteceu
- Se você usar este gerenciador de senhas gratuito, suas senhas poderão estar em risco
- LastPass revela como foi hackeado – e não é uma boa notícia
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.