<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              安基網 首頁 資訊 安全報 查看內容

              安全分析師:5款常用密碼管理軟件都有很高風險外泄密碼!

              2019-2-24 11:34| 投稿: xiaotiger |來自: 互聯網


              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

              摘要: 資深安全分析師Adrian Bednarek公布一份密碼管理軟件的安全研究報告,鎖定坊間熱門的5款密碼管理工具進行分析,發現它們或多或少都存在著安全漏洞,允許黑客透過內存窺探主鑰匙(Master Key)或存放在軟件中的密碼。 ...

              資深安全分析師Adrian Bednarek公布一份密碼管理軟件的安全研究報告,鎖定坊間熱門的5款密碼管理工具進行分析,發現它們或多或少都存在著安全漏洞,允許黑客透過內存窺探主鑰匙(Master Key)或存放在軟件中的密碼。

              密碼管理軟件的主要功能為產生復雜密碼及安全儲存密碼,主鑰匙則是密碼管理軟件的密碼,可用來存取軟件中所存放的所有密碼。

              Bednarek是在Windows 10平臺上檢驗了1Password 7、1Password 4、Dashlane、KeePass與LastPass,著重于分析它們能否在非使用狀態洗滌內存中殘留的密碼資訊,或是在注銷及進入鎖住狀態時,能否銷毀內存中的密碼資訊。

              結果發現,所有的密碼管理軟件在非執行狀態時,都能充份保障使用者的機密資訊。不過,雖然它們也都嘗試清洗內存中的機密資訊,但仍會在殘留的緩沖區中發現機密資訊,可能是因為記憶體外泄、遺失內存參照,或是因GUI框架過于復雜擋住了內部內存管理機制,而無法銷毀它們。

              Bednarek說,他認為最重要的是在密碼管理軟件處于鎖住狀態時的機密資訊銷毀能力,因為大多數的管理軟件會在一段時間之后自動進入鎖住狀態,直到作業系統或程序因更新活動而重新啟動,這替黑客爭取了許多的時間,可直接從內存中竊取部份以明文存放的密碼。

              盡管Bednarek認為自己只是在研究密碼管理軟件得以改善的部份,還是惹來了上述軟件開發商的反駁,所持的立場為這并非密碼管理軟件的原罪。Threat Post引述了Dashlane執行長Emmanuel Schalit的看法:"一旦作業系統或裝置被入侵,黑客就能存取裝置上的任何資料,且并無有效的防范途徑。"1Password則說,對于內存的安全管理問題已被公開討論過許多次,迄今的結論都是任何的修補都可能比現況更糟。

              即使是在Bednarek的報告出爐之后,大多數的安全專家依然認為密碼管理軟件是使用者不可或缺的安全工具,畢竟每個人平均所使用的密碼數量已經從2007年的25個增加到2015年的130個,而且預計到2020年會成長到207個,一來使用者根本無法記住那么多的密碼,二來它也是維護使用者帳號安全的重要工具,總比一直使用同樣密碼來得安全許多。


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6661120934058918414/

              免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新評論

               最新
              返回頂部
              十一选五奖金对照表