Это были плохие несколько месяцев для менеджеров паролей, хотя в основном только для LastPass. Но после того, как стало известно, что у LastPass произошло серьезное нарушение, внимание теперь обращено на менеджер с открытым исходным кодом KeePass.
Содержание
- Это не будет исправлено
- Что ты можешь сделать?
Раздавались обвинения в том, что новая уязвимость позволяет хакерам тайно украсть всю базу данных паролей пользователя в незашифрованном виде. Это невероятно серьезное утверждение, но разработчики KeePass его оспаривают.
KeePass — это программа с открытым исходным кодом. менеджер паролей который хранит свое содержимое на устройстве пользователя, а не в облаке, как конкурирующие предложения. Однако, как и во многих других приложениях, его хранилище паролей можно защитить с помощью главного пароля.
Связанный
- Эти неловкие пароли стали причиной взлома знаменитостей
- Google только что сделал этот жизненно важный инструмент безопасности Gmail совершенно бесплатным
- NordPass добавляет поддержку ключей, чтобы исключить ваши слабые пароли
Уязвимость, зарегистрированная как CVE-2023-24055, доступен любому, у кого есть доступ на запись в систему пользователя. Как только это будет получено, злоумышленник может добавить в XML-файл конфигурации KeePass команды, которые автоматически экспортировать базу данных приложения, включая все имена пользователей и пароли, в незашифрованный файл. текстовый файл.
Рекомендуемые видео
Благодаря изменениям, внесенным в XML-файл, весь процесс выполняется автоматически в фоновом режиме, поэтому пользователи не получают оповещений о том, что их база данных была экспортирована. Затем злоумышленник может извлечь экспортированную базу данных на компьютер или сервер, который он контролирует.
Это не будет исправлено
Однако разработчики KeePass оспорили отнесение процесса к уязвимостям, поскольку кто-либо тот, у кого есть доступ на запись к устройству, может получить базу данных паролей, используя другие (иногда более простые) методы.
Другими словами, как только кто-то получит доступ к вашему устройству, такой XML-эксплойт станет ненужным. Например, злоумышленники могут установить кейлоггер, чтобы получить мастер-пароль. Ход рассуждений таков: беспокоиться о такого рода атаках — все равно, что закрывать дверь после того, как лошадь убежала. Если злоумышленник имеет доступ к вашему компьютеру, исправление эксплойта XML не поможет.
Решением, по мнению разработчиков, является «поддержание безопасности среды (с помощью антивирусного программного обеспечения, брандмауэра, запрета открытия неизвестных вложений электронной почты и т. д.). KeePass не может волшебным образом безопасно работать в незащищенной среде».
Что ты можешь сделать?
Хотя разработчики KeePass, похоже, не желают решать проблему, есть шаги, которые вы можете предпринять самостоятельно. Лучше всего создать файл принудительной конфигурации. Это будет иметь приоритет над другими файлами конфигурации, смягчая любые вредоносные изменения, внесенные внешними силами (например, те, которые используются в уязвимости экспорта базы данных).
Вам также необходимо убедиться, что обычные пользователи не имеют доступа на запись к каким-либо важным файлам или папкам, содержащимся в каталоге KeePass и что файл KeePass.exe и файл принудительной конфигурации находятся в одном и том же месте. папка.
А если вам неудобно продолжать использовать KeePass, есть множество других вариантов. Попробуйте переключиться на один из лучшие менеджеры паролей чтобы ваши логины и данные кредитной карты были в безопасности, как никогда.
Хотя это, несомненно, еще более плохая новость для мира менеджеров паролей, эти приложения все равно стоит использовать. Они могут помочь вам создать надежные, уникальные пароли которые зашифрованы на всех ваших устройствах. Это гораздо безопаснее, чем используя «123456» для каждой учетной записи.
Рекомендации редакции
- Этот критический эксплойт может позволить хакерам обойти защиту вашего Mac.
- Хакеры могли украсть главный ключ другого менеджера паролей
- Нет, 1Password не взломали – вот что произошло на самом деле
- Если вы используете этот бесплатный менеджер паролей, ваши пароли могут оказаться под угрозой.
- LastPass рассказывает, как его взломали — и это не очень хорошие новости
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
