Au fost câteva luni proaste pentru managerii de parole – deși în principal doar pentru LastPass. Dar după dezvăluirile pe care LastPass le-a avut suferit o încălcare majoră, atenția se îndreaptă acum către managerul open-source KeePass.
Cuprins
- Nu va fi reparat
- Ce poti face?
Au fost acuzate că o nouă vulnerabilitate le permite hackerilor să fure pe furiș întreaga bază de date a parolelor unui utilizator în text simplu necriptat. Aceasta este o afirmație incredibil de serioasă, dar dezvoltatorii KeePass o contestă.
KeePass este o sursă deschisă manager de parole care își stochează conținutul pe dispozitivul unui utilizator, mai degrabă decât în cloud, precum ofertele rivale. La fel ca multe alte aplicații, totuși, seiful de parole poate fi protejat cu o parolă principală.
Legate de
- Aceste parole jenante le-au spart pe celebrități
- Google tocmai a făcut acest instrument vital de securitate Gmail complet gratuit
- NordPass adaugă suport pentru cheile de acces pentru a elimina parolele slabe
Vulnerabilitatea, înregistrată ca CVE-2023-24055, este disponibil pentru oricine are acces de scriere la sistemul unui utilizator. Odată ce a fost obținut, un actor de amenințare poate adăuga comenzi la fișierul de configurare XML al KeePass exportați automat baza de date a aplicației - inclusiv toate numele de utilizator și parolele - într-un sistem necriptat fișier text simplu.
Videoclipuri recomandate
Datorită modificărilor aduse fișierului XML, procesul se desfășoară automat în fundal, astfel încât utilizatorii să nu fie alertați că baza lor de date a fost exportată. Actorul amenințării poate extrage apoi baza de date exportată pe un computer sau server pe care îl controlează.
Nu va fi reparat
Cu toate acestea, dezvoltatorii KeePass au contestat clasificarea procesului ca vulnerabilitate, deoarece oricine care are acces de scriere la un dispozitiv poate pune mâna pe baza de date cu parole folosind diferite (uneori mai simple) metode.
Cu alte cuvinte, odată ce cineva are acces la dispozitivul dvs., acest tip de exploit XML nu este necesar. Atacatorii ar putea instala un keylogger pentru a obține parola principală, de exemplu. Linia de raționament este că îngrijorarea cu privire la acest tip de atac este ca și cum ai închide ușa după ce calul a șurubat. Dacă un atacator are acces la computerul dvs., repararea exploit-ului XML nu va ajuta.
Soluția, susțin dezvoltatorii, este „păstrarea securității mediului (prin utilizarea unui software antivirus, a unui firewall, a nu deschide atașamente de e-mail necunoscute etc.). KeePass nu poate rula în mod magic în siguranță într-un mediu nesigur.”
Ce poti face?
Deși dezvoltatorii KeePass nu par să remedieze problema, există pași pe care îi puteți lua singur. Cel mai bun lucru de făcut este să creezi un fișier de configurare forțat. Acest lucru va avea prioritate față de alte fișiere de configurare, atenuând orice modificări rău intenționate făcute de forțele externe (cum ar fi cea utilizată în vulnerabilitatea de export a bazei de date).
De asemenea, va trebui să vă asigurați că utilizatorii obișnuiți nu au acces de scriere la niciun fișier sau folder important conținut în directorul KeePass și că atât fișierul KeePass .exe, cât și fișierul de configurare forțat sunt în același pliant.
Și dacă nu vă simțiți confortabil să continuați să utilizați KeePass, există o mulțime de alte opțiuni. Încercați să treceți la unul dintre cei mai buni manageri de parole pentru a vă păstra datele de conectare și detaliile cărții de credit mai sigure ca niciodată.
Deși aceasta este, fără îndoială, o veste mai proastă pentru lumea managerilor de parole, aceste aplicații merită încă folosite. Ele vă pot ajuta să creați parole puternice, unice care sunt criptate pe toate dispozitivele dvs. Este mult mai sigur decât folosind „123456” pentru fiecare cont.
Recomandările editorilor
- Această exploatare critică ar putea permite hackerilor să ocolească apărarea Mac-ului tău
- Este posibil ca hackerii să fi furat cheia principală unui alt manager de parole
- Nu, 1Password nu a fost piratată – iată ce s-a întâmplat cu adevărat
- Dacă utilizați acest manager de parole gratuit, parolele dvs. ar putea fi în pericol
- LastPass dezvăluie cum a fost piratat - și nu este o veste bună
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
