密码保护器安全吗?每个重大突破的清单

如果您花费任何时间上网(这些日子不是谁?),那么您可能会有很多密码.


每次登录社交媒体帐户,检查银行帐户余额或从Amazon订购商品时,都需要输入密码。如果您属于任何论坛,运营网站甚至只是写博客,那么您甚至拥有更多的密码.

密码必要性试图为每个网站使用相同的密码是很诱人的。毕竟,您可能需要在正常年份中登录数十个(如果不是数百个)网站。如果您对每个网站都有一个独特的强密码, 你怎么可能都记得他们?

不幸的是,太多的人选择了简单的方法。他们使用的密码非常明显,例如“密码123,”,然后将其用于所有在线活动。为什么这是一个可怕的主意?因为 如果黑客甚至设法在一个帐户上都获得了您的密码,那么他们就拥有了您所有帐户的密码.

也许您不认为,如果某些邪恶的党派能够登录您的Facebook个人资料,这尤其重要,尽管如果发生这种情况,他们可能会造成严重破坏。但是,如果该密码使他们能够访问您的银行信息,您的信用卡号,社会保险号或其他任何内容,那么您一定会在意的.

为什么强密码至关重要

近年来,许多网站已经开始对越来越长且复杂的密码提出要求。用户想出并记住这些密码很痛苦,但是这样做是有充分理由的.

强密码您的密码越复杂和随机,黑客越难辨认。. 现在,假设您有许多这样的密码,每个您访问的网站都有一个。那些黑客必须找出一个由12个或更多字母,数字和特殊字符组成的完全随机的链,他们才能走得更远。只有在每个在线帐户上使用唯一密码,问题才会成倍增加.

这类密码对于您的在线安全至关重要. 一旦一名黑客弄清楚了您的密码太简单了,他们就可以自己使用它或在黑市上以高价出售它。这些购买者中有一些非常复杂。在几分钟之内,您的身份被盗,您的信用等级被破坏, 您将花费数年和大量的金钱来尝试重新获得声誉.

根据《麻省理工学院技术评论》(MIT Technology Review),创建一个真正强大的密码不仅仅是使用一个大写字母,一个数字和一个特殊字符。您输入密码的时间越长,使用的特殊字符越多,您越有可能成为黑客.

黑客拥有可以不间断地通过密码“猜测”运行的软件。迟早,它们可能会锁定您的密码。但是,如果您的密码很长,很复杂并且完全是随机的,那么 黑客有机会寻找更容易的猎物, 有大量可用.

什么是密码管理器?

问题在于记住所有这些难以置信的长,复杂和唯一的密码是一项艰巨的任务。谁能使他们保持直立?那就是密码管理器进来的地方.

密码管理器如何工作大多数密码管理器旨在为单个用户生成无数的强大随机密码。他们存储这些密码,然后在您访问每个网站时取回它们.

这些服务还可以存储您的信用卡号,包括背面的三位数CVV代码以及PIN和您对各种安全问题的回答。所有这些数据都经过加密,以阻止黑客入侵。其中许多服务都使用散列,本质上是 负责将纯数据转换为预定长度的数字或字符的字符串.

每当您要访问需要使用其中一个密码的网站时,您都将登录到先前使用密码管理器存储的数据“库”。通过管理员服务的单个密码授予访问权限.

听起来很方便,但请务必不要对密码管理器给予过多信任. 这些服务不是万能的灵丹妙药. 使用类似VPN的方法仍然是明智的 NordVPN 对于所有浏览,对某些极其有价值的帐户进行两步验证,并且仅使用您信任的设备.

实际上,您最好完全放弃使用密码管理器.

为什么密码管理员可能会有风险

密码管理器可以将所有敏感数据存储在本地或云中。因此,您的密码位于家里的存储驱动器或计算机上的保管库中,或者远程保存在密码管理器的服务器上.

业内知名人士 喜欢 达什兰1密码 和 最后通行证 默认情况下使用其服务器存储您的私人信息. 这使您更方便地将所有设备上存储的所有数据同步.

密码入侵现在,这些公司对其安全措施做出了很多承诺,但这并不能使所有消费者感到满意. 试想一下,如果单个服务器上所有非常有价值的数据都被黑客入侵了. 因为您将所有鸡蛋都放在一个篮子里,所以您失去了对网络生活的控制.

现实情况是,很少有黑客能够抵御通过高级安全系统的诱惑。想一想他们可以通过一次黑客收集的所有无价数据. 有时,合并不是明智的选择.

如果您真的不喜欢所有密码都使用云存储,那么也许可以选择使用本地存储代替. 达什兰 当客户选择禁用“同步”功能时,这使这成为可能.

1Password让客户购买软件许可证,从而可以控制其保管库的保存位置。 KeePass使您可以将数据存储在已在您自己的设备上加密的保管库中.

但是,在您全神贯注地使用这些选项之前,请先问问自己电子安全措施的安全性如何?黑客是否有可能通过它们从您自己的设备中获取您的所有密码?

您需要了解的安全漏洞

列出的安全漏洞不是理论上的. 他们中有许多发生了。在您决定是否使用密码管理器对您有意义之前,请考虑这些违规行为.

违反OneLogin

密码管理器OneLogin于2017年6月透露它遭受了黑客攻击。广泛报道的事件 影响了所有数据存储在美国数据中心的公司客户.

在一个新闻稿中,OneLogin写道:“此后,我们阻止了这种未经授权的访问,并将此事报告给了执法部门,并正在与独立的安全公司合作,以确定未经授权的访问是如何发生的。”

LastPass报告违规

另一个臭名昭著的密码管理器黑客事件发生在LastPass。据报道,这是2017年4月,该公司将其描述为“独特且高度复杂”的问题。这意味着LastPass使用了这种先进的加密技术和安全措施,这种情况完全是无法想象的,不可能再次发生.

谷歌零号项目的安全研究员Tavis Ormandy确认了此问题。 Ormandy将该问题描述为本质上的“建筑”问题,并说将需要大量时间来解决.

虽然LastPass致力于纠正漏洞,但他们建议客户端使用 两因素认证 并避免所有可疑链接.

但是,这不是LastPass遭受的唯一情况。 2015年6月,该公司宣布其服务器遭受了入侵。 LastPass报告没有存储的密码被盗,并且 黑客没有使用电子邮件地址,密码提醒或身份验证哈希.

KeePass被黑客入侵–有点

在2015年推出了一个绰号为“ KeeFarce”的工具,这使KeePass看起来很简单。尽管此黑客工具针对的是KeePass, 可以对该工具进行修改以针对任何密码管理器.

本质上,该工具旨在针对用户的计算机,这些计算机通常不具备密码管理器使用的强大安全功能。该工具能够解密用户使用KeePass存储的所有用户名和密码。然后将所有数据写入黑客可以访问的文件中.

该工具旨在突出显示所有密码管理器都存在的问题. 受感染的计算机是易受攻击的计算机. 当用户的计算机感染病毒或其他问题时,无论密码管理器有多好,它所提供的保护都必然会受到损害。如果您希望从密码管理器中受益,就必须提高自己的安全性.

守护者捉虫

错误检测在2018年5月,Keeper宣布他们已修复安全研究人员确定的错误。研究人员说 该错误可能允许未经授权的人员访问属于另一个用户的私人数据.

该错误通过公共安全披露清单被发现。从清单上说,从本质上讲,控制公司API服务器的任何人理论上都可以访问解密密钥,以访问属于任何用户的密码库。问题的根源包含在Keeper Commander中,Keeper Commander是由Python驱动的脚本,可让用户旋转密码.

自此消除了Keeper的错误.

TeamSIK的发现

2017年2月,弗劳恩霍夫安全信息技术研究所的研究人员在审查了九种最常用的密码管理器后公开了他们的发现。结果令人放心.

团队sik徽标研究人员被称为TeamSIK,称他们的发现“极为令人担忧”。他们甚至断言,这些公司“滥用用户的信心,使他们面临高风险。”

该评论中包括的密码管理器是1Password,Avast密码,隐藏图片Keep Safe Vault,Dashlane,F-Secure KEY,Keeper,LastPass,Informaticore密码管理器和我的密码.

审查中的每个经理至少都有一个安全漏洞。研究人员将他们的发现告知了每家公司,并迅速解决了主要问题。不过,似乎每个公司都应该已经意识到并纠正了这些问题,而无需外部来源哄骗他们采取行动?

善后, 鼓励用户确保已对其进行了修补并使用了最新版本的密码管理器软件 这样他们就可以充分利用升级后的安全措施带来的好处.

以下是一些特定的详细信息/报告。有关详细信息,请打开每个报告.

我的密码 

  • 读取我的密码应用程序的私人数据
  • 我的密码应用程序的主密码解密
  • 免费高级功能为我的密码解锁

Informaticore密码管理器 

  • Mirsoft Password Manager中的凭据存储不安全

LastPass密码管理器 

  • LastPass密码管理器中的硬编码主密钥
  • 隐私,LastPass浏览器搜索中的数据泄漏
  • 从LastPass密码管理器中读取私人日期(存储的主密码)

守护者密码管理员 

  • Keeper密码管理器安全问题绕过
  • 没有主密码的Keeper Password Manager数据注入

F-Secure KEY密码管理器 

  • F-Secure KEY密码管理器不安全的凭据存储

Dashlane密码管理器 

  • 从Dashlane密码管理器中的App文件夹中读取私人数据
  • Dashlane密码管理器浏览器中的Google搜索信息泄漏
  • 残留攻击从Dashlane密码管理器中提取主密码
  • 内部Dashlane密码管理器浏览器中的子域密码泄漏

隐藏图片保存保险箱 

  • SKeepsafe纯文本密码存储

Avast密码 

  • 从Avast Password Manager窃取应用程序密码
  • 从Avast Password Manager欺骗网站进行密码盗窃
  • Avast Password Manager中流行站点的不安全默认URL
  • Avast Password Manager中的子域密码泄漏
  • Avast Password Manager中的安全通信中断
  • Avast Password Manager中的内部测试URL

1Password –密码管理器 

  • 1Password内部浏览器中的子域密码泄漏
  • 在1Password内部浏览器中默认将Https降级为http URL
  • 1Password数据库中未加密的标题和URL
  • 从1Password Manager中的App文件夹中读取私人数据
  • 隐私问题,信息泄露给供应商1Password Manager

安全违规的类型

现实情况是,所有主要的密码管理器都一次或一次发生严重的安全漏洞。即使他们纠正了发现的问题,似乎新方案总是在进行中. 这些是密​​码管理器容易受到攻击的一些安全漏洞.

网络钓鱼 –大多数人都听说过网络钓鱼方案。它们涉及据称由信誉良好的实体或个人发送的电子邮件或短信。目的是让一个毫无戒心的受害者泄露敏感数据,例如银行帐号,信用卡号和社会保险号,以欺骗接收者。.

网络钓鱼攻击流程

网络钓鱼已被用来欺骗密码管理器客户。在此方案中,由于会话期满,要求客户登录网站。当他们这样做时,实际上是一个令人困惑的类似网络钓鱼网站,在此他们输入了自己的私人数据。用户刚刚愿意将他们的秘密密码提供给黑客.

跨站请求伪造 –通常称为CSRF,该方案欺骗人们在线采取意外操作。它用于在Web应用程序中通过身份验证的用户。邪恶的一方经常通过电子邮件发送链接以诱使受害者转移资金或采取其他可能有害的行动.

跨站脚本 –众所周知为XSS,此攻击涉及将恶意代码引入到其他已知且受信任的网站中.

蛮力攻击 –此安全漏洞涉及自动软件,该软件会尝试各种组合,直到遇到数据金矿,例如密码管理器的服务器.

自动填写密码自动填充功能漏洞 –使用Web浏览器或密码管理器上的自动填充功能很诱人,因为它似乎使一切变得如此简单. 实际上,您只是在为世界各地的网络犯罪分子提供便利. 广告商甚至正在使用它.

以纯文本格式存储主密码 –为了证明密码管理器不一定是敏感数据的最佳看门人,一个研究项目发现以下事实:一些密码管理器以纯文本形式存储客户的主密码,而没有进行任何加密.

应用程序的包含加密密钥的代码 –本质上,应用程序自己的代码在代码本身内公开了加密密钥。当发现此漏洞时,这是黑客的活动日.

剪贴板嗅探或劫持 –此漏洞使犯罪分子可以获取已复制到PC内存中的凭据,以便可以将其粘贴到用于输入密码的界面中.

内置Web浏览器缺陷 –一些密码管理器也是浏览器,使用该浏览器可以使客户上网更安全。但是,由于密码管理器不完善,它们全都存在,因此出现漏洞的可能性成倍增加.

数据残留攻击 –删除设备上的应用程序的用户不一定会删除所有痕迹。一些黑客攻击留下的“残留物”。只有真正可靠的安全措施才能将犯罪分子拒之门外.

内部人员的网络攻击内幕骇客 –不要仅仅因为使用公司计算机就认为自己安全。一些黑客是同事的一项内部工作。在密码管理器办公室也是如此。您怎么知道您可以信任提供者的员工?

交换存储中的信息泄漏 –大多数计算机具有主存储器和辅助存储器。计算机执行的每个过程都会获得所需的内存。活动进程存储在主存储器中。休眠进程被推送到辅助存储。当特定进程开始消耗大量内存时,更多项目将被推入二级存储。系统性能会下降,终止泄漏的进程可能并不意味着被推送到辅助存储的进程会立即被交换回去。外包给辅助存储的任何内容都可能容易受到攻击.

未来该何去何从?

如上所述,此后,九个最著名的密码管理器已修复了所有这些问题。但是,还有哪些其他问题在潜伏呢? TeamSIK发现的某些漏洞本来应该很明显,但这些公司都没有意识到。一个独立的第三方发现了这些问题并将其曝光。您是否真的可以将最敏感的数据信任密码管理员??

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me