Било је то лоших неколико месеци за менаџере лозинки - иако углавном само за ЛастПасс. Али након открића које је ЛастПасс имао претрпео велики прекршај, пажња се сада окреће менаџеру отвореног кода КееПасс.
Садржај
- Неће бити поправљено
- Шта можете да урадите?
Шире се оптужбе да нова рањивост омогућава хакерима да потајно украду целокупну корисничку базу података лозинки у нешифрованом отвореном тексту. То је невероватно озбиљна тврдња, али програмери КееПасс-а то оспоравају.
КееПасс је опен-соурце менаџер лозинки који чува свој садржај на уређају корисника, а не у облаку попут конкурентских понуда. Међутим, као и многе друге апликације, његов трезор лозинки може бити заштићен главном лозинком.
Повезан
- Ове срамотне лозинке су хаковале познате личности
- Гоогле је управо направио ову виталну Гмаил безбедносну алатку потпуно бесплатном
- НордПасс додаје подршку за приступне кључеве како би избацио ваше слабе лозинке
Рањивост, евидентирана као ЦВЕ-2023-24055, доступан је свакоме ко има приступ за писање корисничком систему. Када се то добије, актер претње може да дода команде у КееПасс КСМЛ конфигурациони фајл који аутоматски извозите базу података апликације - укључујући сва корисничка имена и лозинке - у нешифровану фајл отвореног текста.
Препоручени видео снимци
Захваљујући променама у КСМЛ датотеци, процес се одвија аутоматски у позадини, тако да корисници не добијају упозорење да је њихова база података извезена. Актер претње тада може да издвоји извезену базу података на рачунар или сервер који контролишу.
Неће бити поправљено
Међутим, програмери КееПасс-а оспорили су класификацију процеса као рањивости, пошто је било ко ко има приступ за писање на уређају може се дочепати базе података лозинки користећи различите (понекад једноставније) методе.
Другим речима, када неко има приступ вашем уређају, ова врста КСМЛ експлоатације је непотребна. Нападачи би могли да инсталирају кеилоггер да би добили главну лозинку, на пример. Линија резоновања је да је брига о оваквој врсти напада као затварање врата након што коњ закрене. Ако нападач има приступ вашем рачунару, исправљање КСМЛ експлоатације неће помоћи.
Решење је, тврде програмери, „одржавање окружења безбедним (користећи антивирусни софтвер, заштитни зид, не отварајући непознате прилоге е-поште, итд.). КееПасс не може магично да ради безбедно у несигурном окружењу."
Шта можете да урадите?
Иако изгледа да КееПасс-ови програмери нису вољни да реше проблем, постоје кораци које можете сами да предузмете. Најбоља ствар коју треба урадити је да креирате принуђена конфигурациона датотека. Ово ће имати предност над другим конфигурационим датотекама, ублажавајући све злонамерне промене које су извршиле спољне силе (као што је она која се користи у рањивости извоза базе података).
Такође ћете морати да се уверите да редовни корисници немају приступ за писање никаквим важним датотекама или фасциклама унутар КееПасс директоријума и да су и КееПасс .еке датотека и принудна конфигурациона датотека у истом фолдер.
А ако се не осећате пријатно да наставите да користите КееПасс, постоји много других опција. Покушајте да пређете на један од најбољи менаџери лозинки да ваше пријаве и податке о кредитној картици буду безбеднији него икад.
Иако је ово несумњиво лошија вест за свет менаџера лозинки, ове апликације и даље вреди користити. Они вам могу помоћи да креирате јаке, јединствене лозинке који су шифровани на свим вашим уређајима. То је далеко сигурније него користећи „123456“ за сваки налог.
Препоруке уредника
- Овај критични подвиг би могао дозволити хакерима да заобиђу одбрану вашег Мац-а
- Хакери су можда украли главни кључ другог менаџера лозинки
- Не, 1Пассворд није хакован – ево шта се заиста догодило
- Ако користите овај бесплатни менаџер лозинки, ваше лозинке могу бити у опасности
- ЛастПасс открива како је хакован - и то није добра вест
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
