最新消息:阿里云双12优惠,史上最低折扣。

常见的密码管理器存在漏洞,安全问题仍然存在

云服务器 aliyun 117浏览

加拿大服务器适合放外贸网站吗?

加拿大服务器的优势是什么?1、加拿大服务器稳定性能更高因为国外发展服务器比较早,如果服务器放在加拿大地区,网络相对是比较稳定的。3、网站访问速度快因为外贸企业一般的客户也是在国外的,那这时网站的服务器放在国外的话,刚好就可以减少距离的节点,使得网站的访问速度加快。

安全研究人员最近在几个流行的密码管理器中发现了漏洞,这些漏洞可以允许攻击者访问计算机以从其内存中检索密码。虽然漏洞是真实的,但保护内存中的秘密仍是软件行业的一个问题,专家指出,窃取密码的方法更为简单。

 

上周,独立安全评估员(ISE)发布了一份引发安全界争议的报道,该公司是一家在查找软件漏洞方面有良好记录的安全咨询公司。该公司测试了LastPass,Dashlane,1Password版本4,1Password版本7和KeePass的桌面版本。ISE调查了应用程序在三种状态下提供的安全保证:未运行密码保险库锁定,运行密码保险库解锁并运行但密码保险库已锁定。

 

为什么黑客可以在内存中找到密码

密码管理器使用从用户主密码派生的密钥加密密码数据库。当用户键入主密码时,密钥将加载到程序的内存中,并且保险库将被解锁。存储在保管库中的部分或全部个人密码也可能会在使用时暂时复制到程序的内存中。

 

ISE研究了应用程序从内存中清除这些秘密的程度,发现有些应用程序留下了“残留缓冲区”。这些缓冲区可以允许在应用程序仍在运行时恢复主密码或单个用户密码,但应该使其密码保险库处于锁定状态 – 用户有意锁定它们或注销。

 

但是,所有经过测试的应用程序在未运行时都能充分保护其密码数据库,这意味着如果这些数据库是从磁盘中窃取并使用强大的主密码,那么攻击者破解密码的计算难度很大使用蛮力技术。

 

唯一的问题是内存抓取攻击,其中恶意软件或攻击者在RAM内存的内容中搜索机密。问题是,为了解决这种攻击,黑客已经需要访问本地计算机。

 

“主密码不是目标;它只是目标的垫脚石,”Rendition Infosec首席顾问杰克威廉姆斯通过电子邮件说道。“真正的目标是受密码管理器保护的帐户的密码。表单抓取,用户注入浏览器,将是窃取帐户密码的一种方法。键盘记录是获取这些密码的另一种明显方法(或甚至主密码本身。)”

 

甚至ISE的研究人员也在他们的报告中提到“无论密码管理员如何严格遵守我们提出的’安全保证’,键盘记录或剪贴板嗅探恶意软件/方法的受害者都无法得到保护。”

 

专家表示尽管存在漏洞,仍然使用密码管理器

此漏洞的存在只能在某种程度上得到缓解,并不会使密码管理器变得不那么有用和需要,特别是因为大量的帐户泄露是人们使用弱密码或重复使用相同密码的结果。多个帐户。

 

用户保护其在线数据的最佳方式之一是为每个在线帐户设置唯一的密码。跟踪大量长密码和复杂密码的唯一合理方法是使用密码管理应用程序。

 

根据威廉姆斯的说法,建议人们因为记忆刮擦风险而停止使用密码管理器,这类似于建议人们在驾驶时不要使用安全带,因为在极少数情况下他们会在事故中将人员困在车内。“这个比喻实际上比这更糟糕,”威廉姆斯说。“在类比的安全带方面,我有一些例子,我可以指出他们实际上已经造成伤害的地方。我不能引用密码管理器通过内存刮取而受到损害的单一案例。”

 

然而,存储器刮擦恶意软件确实存在并且过去曾被用于例如从受损的销售点系统窃取信用卡信息。使用此类技术的一个引人注目的案例是2013年Target的数据泄露导致了4100万张支付卡的妥协。

 

只要攻击者知道在哪里查找信息,就可以轻松扩展此类恶意软件以窃取内存中的任何数据,包括密码。它不会改变以下事实:如果攻击者可以在系统上运行恶意软件,他们也可以运行键盘记录程序并以这种方式获取密码,这样更容易,并且不需要任何专业知识。

 

多年来,在运行程序的存储器中保护秘密的问题一直是难以解决的问题。这就是为什么有些设备具有与主CPU并行或一起运行的专用加密芯片,用于存储加密密钥或执行涉及这些密钥的敏感操作。

 

此类技术的示例包括商用笔记本电脑中的可信平台模块(TPM)芯片,现代Intel CPU中的Intel Software Guard Extensions(英特尔SGX),ARM CPU中的ARM TrustZone,iOS设备中的Secure Enclave或Qualcomm Secure高通芯片的执行环境(QSEE)。甚至这些现代技术都没有缺陷。

 

安全公司Tenable的情报副总裁加文·米勒德说:“我们已经看到很多关于智能手机和其他设备的技术制造商在其安全飞地中存在问题的报道。” “如果组织如此关注,那么他们就不应该依赖一把钥匙。相反,他们应该使用两个甚至三个因素的认证 – 你知道的东西(密码)与你拥有的东西的组合(一个 – 时间密码)和你的东西(指纹,虹膜/面部扫描等)。如果密码管理器被破坏,还有第二个要克服的因素。“

 

密码管理器供应商响应漏洞报告

与威廉姆斯一样,Millard认为使用密码管理器的好处远远超过了通过内存刮擦造成密码盗窃的任何潜在风险,并且这些风险可以通过其他方式得到缓解。例如,多因素身份验证不会阻止密码的实际被盗,但是为帐户启用它可以防止攻击者实际滥用任何被盗密码。许多在线服务已经支持双因素身份验证,并且公司也越来越多地将其添加到其内部应用程序中。

 

LastPass首席技术官Sandor Palfy告诉CSO,此漏洞仅影响LastPass for Applications,这是该公司的Windows遗留应用程序。LastPass通过它的bug赏金计划了解了这个漏洞并进行了更改以解决它。他说,当用户退出时,应用程序现在将关闭并清除所有内存。

 

Dashlane的首席执行官Emmanuel Schalit通过电子邮件说:“正在讨论的情况是攻击者可以完全控制用户的设备。” “……在网络安全领域,人们普遍知道上述情况是极端情况,因为如果该设备已经完全受损,任何机制都无法保护设备上的数字信息。”

 

Schalit说,Dashlane在其安全白皮书中已经介绍了这种情况,该白皮书可以在公司网站上找到,并指出使用这个参数建议不要使用密码管理器是“危险的逻辑。说你永远不应该使用解决方案除非实际上不可能妥协导致基本上拒绝任何安全软件,因为在上述情况下,它们都可能受到损害,“他说。

 

“这是一个众所周知的问题,之前曾多次被公开讨论过,但任何看似合理的治疗都可能比疾病更糟糕,”1Password的黑暗艺术首席辩护人杰弗里戈德伯格说道。“解决这个特殊问题引入新的,更大的安全风险,因此我们选择坚持高级内存管理所提供的安全性,即使这意味着我们无法立即清除内存。从长远来看,我们可能不需要做出这样的权衡。但鉴于我们可以使用的工具和技术,我们必须决定如何最好地保护用户的安全。我支持我们的决定。“

 

更广泛地说,信息安全面临的最大问题之一是消除风险的错误理想,据着名黑客和安全作者杰森森街称,他现在是SphereNY的InfoSec副总裁。“我们不是在消除风险,”华尔街告诉CSO。“我们的工作是尽可能减少风险,然后抵消我们无法减轻的风险,接受我们无法抵消的风险。这是一个持续不断的持续过程,而不是绝对的解决方案。”

 

“密码管理器是否需要更新和修复?是的,因为不使用密码管理器会使大多数用户面临更大的风险,”Street说。“我们需要让用户不要立即做出反应,而是要了解风险并做出明智的决策,这是信息安全的主要功能和责任之一。”

转载请注明:小猪云服务器租用推荐 » 常见的密码管理器存在漏洞,安全问题仍然存在