密碼管理器並不像他們聲稱的那樣安全

在線聯繫變得越來越多 自2010年代以來，尤其是隨著社交媒體的到來。 許多在線服務鼓勵用戶不要在各處使用相同的密碼。

這是密碼管理器進入的地方 以幫助用戶通過安全層集中保留他們擁有的所有密碼（添加元數據等）。

如何使用密碼管理器？

密碼管理員 允許從加密的數據庫中存儲和檢索機密信息。

用戶信任他們為洩漏提供更好的安全保證 與其他存儲密碼的方式（例如不安全的文本文件）相比微不足道。

換句話說，密碼管理器可以將您在Internet上使用的所有密碼保存在一個地方，因此非常有用。

並不是所有的東西都像他們畫的那樣

話雖這麼說，一群獨立的安全測試人員， ISE本週報告說，一些最受歡迎的密碼管理器存在一些漏洞 假設尚未被第三方利用，則可以利用這些信息來竊取用戶的身份信息。

在小組提交的報告中， 描述了密碼管理器應提供的安全保證，並檢查了五種流行的密碼管理器的基本操作。

甚至免費軟件也不例外

這些是密碼管理器1Password，Keepass，Dashlane和LastPass。 他們說，下面列出的所有這些密碼管理器都以相同的方式工作。

用戶在軟件中輸入或生成密碼，並添加相關的元數據（例如，對安全性問題的答案以及設計密碼的站點）。

僅當屏幕需要將其傳輸到瀏覽器插件時，該信息才被加密，然後解密，該插件填寫網站上的密碼或將其複製到剪貼板中以供使用。

對於這些管理員中的每一個， 該組定義了三種存在狀態：未運行，已解鎖和已鎖定。

在第一種狀態下，密碼管理器必須確保加密 這樣，只要用戶不使用瑣碎的密碼，攻擊者就不會突然猜出密碼中的主密碼。

在第二種狀態下，應該不可能從內存中提取主密碼 直接或以其他任何方式來恢復原始主密碼。

在第三種狀態下，必須將處於非活動狀態的密碼管理器的所有安全保證應用於處於鎖定狀態的密碼管理器。

在他們的分析中，測試人員聲稱已經檢查了每個密碼管理器用來將主密碼轉換為加密密鑰的算法，並且該算法缺乏抵禦當今破解攻擊的複雜性。

安全管理員分析

對於1密碼4（版本4.6.2.628），其運營安全評估發現了合理的保護措施，可以防止未鎖定狀態下的個人密碼洩露。

不幸的是，當從解鎖狀態轉到鎖定狀態時，它通過處理主密碼和各種破壞的實現細節而被繞過。 主密碼保留在內存中。

因此， 1可以檢索密碼主密碼，因為它不會從內存中刪除 將密碼管理器置於鎖定狀態後。

取1Password（版本7.2.576）， 讓他們驚訝的是他們發現了 它的運行安全性低於其先前版本中的1Password 而不是1Password 7，因為它已經破解了數據庫中的所有個人密碼，因此一旦對數據進行解鎖和緩存，就可以測試數據，而1Password 4一次只能存儲一個條目。

此外，還 發現1Password 7不會清除單個密碼從解鎖狀態進入鎖定狀態時，既不是主密碼，也不是秘密存儲密鑰。

然後，在Dashlane評估中，這些過程表明，重點在於隱藏內存中的秘密以降低提取風險。

此外，GUI和內存框架的使用可防止將機密傳輸到各種操作系統API，這對於Dashlane而言是獨一無二的，並且可能使它們暴露於惡意軟件的竊聽之下。

Linux也不例外

與其他密碼管理器不同， KeePass的 這是一個開源項目。 與1Password 4相似，KeePass會在條目交互時解密條目。

但是，它們都保留在內存中，因為在每次交互後都不會單獨擦除它們。 主密碼已從內存中刪除，無法檢索。

但是，儘管KeePass嘗試通過從內存中刪除秘密來保護秘密，但這些工作流程中顯然存在一些錯誤，因為我們發現，他們說，即使處於鎖定狀態，我們也可以提取與之交互的輸入。

即使已將KeePass置於鎖定狀態，被攔截的條目仍保留在內存中。

最後，與1Password 4一樣， 在解鎖字段中輸入LastPass時，LastPass隱藏該主密碼。

一旦從主密碼獲得解密密鑰，主密碼將替換為短語“ lastpass”。

來源： 安全評估員