密码管理器并不像他们声称的那样安全

在线联系变得越来越多 自2010年代以来，尤其是随着社交媒体的到来。 许多在线服务鼓励用户不要在各处使用相同的密码。

这是密码管理器进入的地方 以帮助用户通过安全层集中保留他们拥有的所有密码（添加元数据等）。

如何使用密码管理器？

密码管理员 允许从加密的数据库中存储和检索机密信息。

用户信任他们为泄漏提供更好的安全保证 与其他存储密码的方式（例如不安全的文本文件）相比微不足道。

换句话说，密码管理器可以将您在Internet上使用的所有密码保存在一个地方，因此非常有用。

并不是所有的东西都像他们画的那样

话虽这么说，一群独立的安全测试人员， ISE本周报告说，一些最受欢迎的密码管理器存在一些漏洞 假设尚未被第三方利用，则可以利用这些信息来窃取用户的身份信息。

在小组提交的报告中， 描述了密码管理器应提供的安全保证，并检查了五种流行的密码管理器的基本操作。

甚至免费软件也不例外

这些是密​​码管理器1Password，Keepass，Dashlane和LastPass。 他们说，下面列出的所有这些密码管理器都以相同的方式工作。

用户在软件中输入或生成密码，并添加相关的元数据（例如，对安全性问题的答案以及设计密码的站点）。

仅在需要屏幕将其传输到浏览器插件时才对信息进行加密，然后将其解密，该插件会填写网站上的密码或将其复制到剪贴板中以供使用。

对于这些管理员中的每一个， 该组定义了三种存在状态：未运行，已解锁和已锁定。

在第一种状态下，密码管理器必须保证加密 这样，只要用户不使用琐碎的密码，攻击者就不会突然猜出密码中的主密码。

在第二种状态下，应该不可能从内存中提取主密码 直接或以其他任何方式来恢复原始主密码。

在第三种状态下，必须将处于非活动状态的密码管理器的所有安全保证应用于处于锁定状态的密码管理器。

在他们的分析中，测试人员声称已经检查了每个密码管理器用来将主密码转换为加密密钥的算法，并且该算法缺乏抵御当今破解攻击的复杂性。

安全管理员分析

对于1密码4（版本4.6.2.628），其运营安全评估发现了合理的保护措施，可以防止未锁定状态下的个人密码泄露。

不幸的是，从主密码的处理以及从解锁状态到锁定状态时各种破坏的实现细节都绕过了这一点。 主密码保留在内存中。

因此， 1可以检索密码主密码，因为它不会从内存中删除 将密码管理器置于锁定状态后。

取1Password（版本7.2.576）， 让他们惊讶的是他们发现了 它的运行安全性低于其先前版本中的1Password 而不是1Password 7，因为它已经破解了数据库中的所有个人密码，因此一旦对数据进行解锁和缓存，就可以测试数据，而1Password 4一次只能存储一个条目。

此外，还 发现1Password 7不会清除单个密码从解锁状态进入锁定状态时，既不是主密码，也不是秘密存储密钥。

然后，在Dashlane评估中，这些过程表明，重点在于隐藏内存中的秘密以降低提取风险。

此外，GUI和内存框架的使用可防止将秘密传输到各种操作系统API，这对于Dashlane而言是独一无二的，并且可能使它们暴露于恶意软件的窃听之下。

Linux也不例外

与其他密码管理器不同， KeePass的 这是一个开源项目。 与1Password 4相似，KeePass会在条目交互时解密条目。

但是，它们都保留在内存中，因为它们在每次交互后都不会被单独擦除。 主密码已从内存中删除，无法检索。

但是，尽管KeePass试图通过从内存中擦除秘密来保护秘密，但这些工作流程中显然存在一些错误，因为我们发现，他们说，即使处于锁定状态，我们也可以提取与之交互的输入。

即使已将KeePass置于锁定状态，被拦截的条目仍保留在内存中。

最后，与1Password 4一样， 在解锁字段中输入LastPass时，LastPass隐藏该主密码。

一旦从主密码获得了解密密钥，主密码就会被短语“ lastpass”代替。

数据来源： 安全评估员