Bilo je nekaj slabih mesecev za upravitelje gesel - čeprav večinoma samo za LastPass. Toda po razkritjih, ki jih je imel LastPass utrpela večjo kršitev, se pozornost zdaj obrača na odprtokodni upravitelj KeePass.
Vsebina
- Ne bo popravljeno
- Kaj lahko narediš?
Vršijo se obtožbe, da nova ranljivost hekerjem omogoča, da prikrito ukradejo celotno podatkovno bazo uporabnikovih gesel v nešifriranem odprtem besedilu. To je neverjetno resna trditev, vendar jo razvijalci KeePass oporekajo.
KeePass je odprtokoden upravitelj gesel ki svojo vsebino shranjuje v uporabnikovi napravi in ne v oblaku kot konkurenčne ponudbe. Kot mnoge druge aplikacije pa je mogoče tudi njegov trezor gesel zaščititi z glavnim geslom.
Povezano
- Zaradi teh neprijetnih gesel so zvezdniki vdrli
- Google je pravkar naredil to bistveno varnostno orodje za Gmail popolnoma brezplačno
- NordPass dodaja podporo za geslo za pregon vaših šibkih gesel
Ranljivost, zabeležena kot CVE-2023-24055, je na voljo vsem, ki imajo pisalni dostop do uporabnikovega sistema. Ko je to pridobljeno, lahko akter grožnje doda ukaze v konfiguracijsko datoteko XML KeePass, ki samodejno izvozi bazo podatkov aplikacije – vključno z vsemi uporabniškimi imeni in gesli – v nešifrirano datoteka z navadnim besedilom.
Priporočeni videoposnetki
Zahvaljujoč spremembam datoteke XML se ves postopek izvaja samodejno v ozadju, tako da uporabniki niso opozorjeni, da je bila njihova zbirka podatkov izvožena. Akter grožnje lahko nato ekstrahira izvoženo bazo podatkov v računalnik ali strežnik, ki ga nadzoruje.
Ne bo popravljeno
Vendar so razvijalci KeePass oporekali klasifikaciji procesa kot ranljivosti, saj kdorkoli kdor ima pisalni dostop do naprave, se lahko dokopa do podatkovne baze gesel z uporabo različnih (včasih enostavnejših) metode.
Z drugimi besedami, ko ima nekdo dostop do vaše naprave, je tovrstno izkoriščanje XML nepotrebno. Napadalci bi lahko namestili keylogger, da bi na primer pridobili glavno geslo. Razmišljanje je, da je skrb za to vrsto napada kot zapiranje vrat, potem ko je konj pobegnil. Če ima napadalec dostop do vašega računalnika, popravljanje izkoriščanja XML ne bo pomagalo.
Razvijalci trdijo, da je rešitev »varovanje okolja (z uporabo protivirusne programske opreme, požarnega zidu, neodpiranjem neznanih e-poštnih prilog itd.). KeePass ne more čudežno delovati varno v nevarnem okolju.«
Kaj lahko narediš?
Medtem ko se zdi, da razvijalci KeePassa niso pripravljeni odpraviti težave, obstajajo koraki, ki jih lahko naredite sami. Najbolje je ustvariti vsiljena konfiguracijska datoteka. To bo imelo prednost pred drugimi konfiguracijskimi datotekami in ublažilo morebitne zlonamerne spremembe, ki jih naredijo zunanje sile (na primer tiste, uporabljene pri ranljivosti izvoza baze podatkov).
Prav tako se boste morali prepričati, da običajni uporabniki nimajo dostopa za pisanje do pomembnih datotek ali map v imeniku KeePass in da sta tako datoteka KeePass .exe kot vsiljena konfiguracijska datoteka v istem mapo.
In če se ne počutite udobno, če nadaljujete z uporabo KeePass, obstaja veliko drugih možnosti. Poskusite preklopiti na enega od najboljši upravitelji gesel da bodo vaše prijave in podatki o kreditni kartici varnejši kot kdaj koli prej.
Čeprav je to nedvomno bolj slaba novica za svet upraviteljev gesel, je te aplikacije še vedno vredno uporabljati. Lahko vam pomagajo pri ustvarjanju močna, edinstvena gesla ki so šifrirani v vseh vaših napravah. To je veliko bolj varno kot z uporabo »123456« za vsak račun.
Priporočila urednikov
- Ta kritični podvig lahko hekerjem omogoči, da zaobidejo obrambo vašega Maca
- Hekerji so morda ukradli glavni ključ drugega upravitelja gesel
- Ne, v 1Password ni prišlo do vdora – tukaj se je res zgodilo
- Če uporabljate ta brezplačni upravitelj gesel, so lahko vaša gesla ogrožena
- LastPass razkriva, kako je prišlo do vdora - in to ni dobra novica
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
