ไม่กี่เดือนที่แย่สำหรับผู้จัดการรหัสผ่าน — แม้ว่าส่วนใหญ่จะเป็นเฉพาะ LastPass เท่านั้น แต่หลังจากการเปิดเผยที่ LastPass มี ประสบการละเมิดครั้งใหญ่ขณะนี้ความสนใจกำลังหันไปหา KeePass ผู้จัดการโอเพ่นซอร์ส
สารบัญ
- มันจะไม่ได้รับการแก้ไข
- คุณทำอะไรได้บ้าง?
ข้อกล่าวหาต่างๆ แพร่สะพัดว่าช่องโหว่ใหม่ทำให้แฮกเกอร์สามารถขโมยฐานข้อมูลรหัสผ่านทั้งหมดของผู้ใช้อย่างซ่อนเร้นในรูปแบบข้อความธรรมดาที่ไม่ได้เข้ารหัส นั่นเป็นคำกล่าวอ้างที่ร้ายแรงมาก แต่นักพัฒนาของ KeePass กำลังโต้แย้งเรื่องนี้
KeePass เป็นโอเพ่นซอร์ส ผู้จัดการรหัสผ่าน ที่เก็บเนื้อหาไว้บนอุปกรณ์ของผู้ใช้ แทนที่จะจัดเก็บไว้บนคลาวด์เหมือนกับข้อเสนอของคู่แข่ง เช่นเดียวกับแอปอื่น ๆ อย่างไรก็ตาม ตู้นิรภัยรหัสผ่านสามารถป้องกันได้ด้วยรหัสผ่านหลัก
ที่เกี่ยวข้อง
- รหัสผ่านที่น่าอับอายเหล่านี้ทำให้คนดังถูกแฮ็ก
- Google เพิ่งทำให้เครื่องมือรักษาความปลอดภัย Gmail ที่สำคัญนี้ใช้งานได้ฟรีโดยสมบูรณ์
- NordPass เพิ่มการรองรับรหัสผ่านเพื่อกำจัดรหัสผ่านที่ไม่รัดกุมของคุณ
ช่องโหว่ที่บันทึกไว้เป็น CVE-2023-24055ใช้ได้กับทุกคนที่มีสิทธิ์เขียนระบบของผู้ใช้ เมื่อได้รับสิ่งนี้แล้ว ผู้คุกคามสามารถเพิ่มคำสั่งลงในไฟล์กำหนดค่า XML ของ KeePass ได้ ส่งออกฐานข้อมูลของแอปโดยอัตโนมัติ รวมถึงชื่อผู้ใช้และรหัสผ่านทั้งหมดไปยังฐานข้อมูลที่ไม่ได้เข้ารหัส ไฟล์ข้อความธรรมดา
วิดีโอแนะนำ
ด้วยการเปลี่ยนแปลงที่เกิดขึ้นกับไฟล์ XML กระบวนการทั้งหมดจึงเสร็จสิ้นโดยอัตโนมัติในเบื้องหลัง ดังนั้นผู้ใช้จะไม่ได้รับการแจ้งเตือนว่าฐานข้อมูลของตนถูกส่งออกแล้ว ผู้คุกคามสามารถแยกฐานข้อมูลที่ส่งออกไปยังคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่พวกเขาควบคุมได้
มันจะไม่ได้รับการแก้ไข
อย่างไรก็ตาม ผู้พัฒนา KeePass ได้โต้แย้งการจำแนกประเภทของกระบวนการว่าเป็นช่องโหว่เนื่องจากใครก็ตาม ผู้ที่มีสิทธิ์เขียนอุปกรณ์สามารถรับฐานข้อมูลรหัสผ่านโดยใช้วิธีอื่น (บางครั้งก็ง่ายกว่า) วิธีการ
กล่าวอีกนัยหนึ่ง เมื่อมีคนเข้าถึงอุปกรณ์ของคุณ การใช้ประโยชน์จาก XML ประเภทนี้ก็ไม่จำเป็น ผู้โจมตีสามารถติดตั้งคีย์ล็อกเกอร์เพื่อรับรหัสผ่านหลักได้ เป็นต้น เหตุผลก็คือการกังวลเกี่ยวกับการโจมตีประเภทนี้ก็เหมือนกับการปิดประตูหลังจากที่ม้าปิดตัวลง หากผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ของคุณได้ การแก้ไขช่องโหว่ XML จะไม่ช่วยอะไร
นักพัฒนาแย้งว่าวิธีแก้ปัญหาคือ “รักษาสภาพแวดล้อมให้ปลอดภัย (โดยใช้ซอฟต์แวร์ป้องกันไวรัส ไฟร์วอลล์ ไม่เปิดไฟล์แนบอีเมลที่ไม่รู้จัก ฯลฯ) KeePass ไม่สามารถทำงานอย่างปลอดภัยได้อย่างน่าอัศจรรย์ในสภาพแวดล้อมที่ไม่ปลอดภัย”
คุณทำอะไรได้บ้าง?
แม้ว่านักพัฒนาของ KeePass ดูเหมือนจะไม่เต็มใจที่จะแก้ไขปัญหา แต่ก็มีขั้นตอนที่คุณสามารถทำได้ด้วยตัวเอง สิ่งที่ดีที่สุดที่ต้องทำคือการสร้าง ไฟล์การกำหนดค่าที่บังคับใช้. สิ่งนี้จะมีความสำคัญเหนือกว่าไฟล์กำหนดค่าอื่น ๆ ซึ่งจะช่วยบรรเทาการเปลี่ยนแปลงที่เป็นอันตรายใด ๆ ที่ทำโดยกองกำลังภายนอก (เช่น ที่ใช้ในช่องโหว่ในการส่งออกฐานข้อมูล)
คุณจะต้องตรวจสอบให้แน่ใจว่าผู้ใช้ทั่วไปไม่มีสิทธิ์ในการเขียนไฟล์หรือโฟลเดอร์สำคัญใด ๆ ที่มีอยู่ ภายในไดเรกทอรี KeePass และทั้งไฟล์ KeePass .exe และไฟล์การกำหนดค่าที่บังคับใช้นั้นเหมือนกัน โฟลเดอร์
และหากคุณรู้สึกไม่สบายใจที่จะใช้งาน KeePass ต่อไป ก็มีตัวเลือกอื่น ๆ มากมาย ลองเปลี่ยนไปใช้อันใดอันหนึ่ง ผู้จัดการรหัสผ่านที่ดีที่สุด เพื่อให้การเข้าสู่ระบบและรายละเอียดบัตรเครดิตของคุณปลอดภัยกว่าที่เคย
แม้ว่านี่จะเป็นข่าวร้ายมากกว่าอย่างไม่ต้องสงสัยสำหรับโลกของผู้จัดการรหัสผ่าน แต่แอปเหล่านี้ก็ยังคุ้มค่าที่จะใช้งาน พวกเขาสามารถช่วยคุณสร้างได้ รหัสผ่านที่แข็งแกร่งและไม่ซ้ำใคร ที่ถูกเข้ารหัสในทุกอุปกรณ์ของคุณ นั่นปลอดภัยกว่ามาก ใช้ “123456” สำหรับทุกบัญชี.
คำแนะนำของบรรณาธิการ
- การหาประโยชน์ที่สำคัญนี้อาจทำให้แฮกเกอร์สามารถเลี่ยงการป้องกันของ Mac ของคุณได้
- แฮกเกอร์อาจขโมยคีย์หลักไปยังผู้จัดการรหัสผ่านอื่น
- ไม่ 1Password ไม่ได้ถูกแฮ็ก – นี่คือสิ่งที่เกิดขึ้นจริง
- หากคุณใช้เครื่องมือจัดการรหัสผ่านฟรีนี้ รหัสผ่านของคุณอาจมีความเสี่ยง
- LastPass เผยวิธีที่มันถูกแฮ็ก — และมันยังไม่ใช่ข่าวดี
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
