Det har varit några dåliga månader för lösenordshanterare - om än mest bara för LastPass. Men efter avslöjandena som LastPass hade drabbats av ett stort brott, uppmärksamhet riktas nu mot öppen källkod-hanteraren KeePass.
Innehåll
- Det kommer inte att fixas
- Vad kan du göra?
Anklagelser om att en ny sårbarhet tillåter hackare att i smyg stjäla en användares hela lösenordsdatabas i okrypterad klartext. Det är ett otroligt allvarligt påstående, men KeePass utvecklare ifrågasätter det.
KeePass är en öppen källkod lösenordshanteraren som lagrar dess innehåll på en användares enhet, snarare än i molnet som rivaliserande erbjudanden. Liksom många andra appar kan dess lösenordsvalv dock skyddas med ett huvudlösenord.
Relaterad
- Dessa pinsamma lösenord fick kändisar att hacka
- Google gjorde just detta viktiga säkerhetsverktyg för Gmail helt gratis
- NordPass lägger till lösenordsstöd för att förvisa dina svaga lösenord
Sårbarheten, loggad som CVE-2023-24055, är tillgänglig för alla med skrivåtkomst till en användares system. När det väl har erhållits kan en hotaktör lägga till kommandon till KeePass XML-konfigurationsfil som exportera automatiskt appens databas – inklusive alla användarnamn och lösenord – till en okrypterad klartextfil.
Rekommenderade videor
Tack vare ändringarna som gjorts i XML-filen, görs hela processen automatiskt i bakgrunden, så att användarna inte blir varnade om att deras databas har exporterats. Hotaktören kan sedan extrahera den exporterade databasen till en dator eller server som de kontrollerar.
Det kommer inte att fixas
Utvecklarna av KeePass har dock ifrågasatt klassificeringen av processen som en sårbarhet, eftersom någon som har skrivåtkomst till en enhet kan få tag på lösenordsdatabasen med hjälp av olika (ibland enklare) metoder.
Med andra ord, när någon har tillgång till din enhet är den här typen av XML-exploatering onödig. Angripare kan installera en keylogger för att få huvudlösenordet, till exempel. Resonemanget är att oroa sig för den här typen av attack är som att stänga dörren efter att hästen har gått i bult. Om en angripare har tillgång till din dator hjälper det inte att fixa XML-exploateringen.
Lösningen, hävdar utvecklarna, är "att hålla miljön säker (genom att använda ett antivirusprogram, en brandvägg, inte öppna okända e-postbilagor, etc.). KeePass kan inte magiskt köras säkert i en osäker miljö."
Vad kan du göra?
Medan KeePass utvecklare verkar ovilliga att åtgärda problemet, finns det steg du kan ta själv. Det bästa man kan göra är att skapa en påtvingad konfigurationsfil. Detta kommer att ha företräde framför andra konfigurationsfiler, vilket minskar eventuella skadliga ändringar gjorda av externa krafter (som den som används i databasens exportsårbarhet).
Du måste också se till att vanliga användare inte har skrivåtkomst till några viktiga filer eller mappar i KeePass-katalogen och att både KeePass .exe-filen och den påtvingade konfigurationsfilen är i samma mapp.
Och om du inte känner dig bekväm med att fortsätta använda KeePass finns det många andra alternativ. Prova att byta till någon av de bästa lösenordshanterare för att hålla dina inloggningar och kreditkortsuppgifter säkrare än någonsin.
Även om detta utan tvekan är mer dåliga nyheter för världen av lösenordshanterare, är dessa appar fortfarande värda att använda. De kan hjälpa dig att skapa starka, unika lösenord som är krypterade på alla dina enheter. Det är mycket säkrare än med "123456" för varje konto.
Redaktörens rekommendationer
- Denna kritiska exploatering kan låta hackare kringgå din Macs försvar
- Hackare kan ha stulit huvudnyckeln till en annan lösenordshanterare
- Nej, 1Password hackades inte – här är vad som verkligen hände
- Om du använder denna gratis lösenordshanterare kan dina lösenord vara i fara
- LastPass avslöjar hur det blev hackat - och det är inga goda nyheter
Uppgradera din livsstilDigitala trender hjälper läsarna att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
