尽管有新的漏洞报告,密码管理器仍然是一个重要的安全工具
专家们轻描淡写地发现了一个可以在计算机内存中暴露密码的漏洞。黑客可能会更容易地窃取密码。安全研究人员最近在一些流行的密码管理器中发现了一些缺陷,这些密码管理器允许攻击者访问计算机从其内存中检索密码。虽然这些漏洞是真实存在的,但是保护内存中的秘密对于软件行业来说是一个持续存在的问题,专家们指出,窃取密码的方法要简单得多。
上周,独立安全评估机构(ISE)发布了一份引发安全界争议的报告。ISE是一家安全咨询机构,有发现软件漏洞的良好记录。公司测试了桌面版的lastpass、dashlane、1password版本4、1password版本7和keepass。ISE调查了应用程序在三种状态下提供的安全保证:不在密码保险库锁定的情况下运行,在密码保险库解锁的情况下运行,但在密码保险库锁定的情况下运行。
为什么黑客可以在内存中找到密码?
密码管理器使用从用户主密码派生的密钥加密密码数据库。当用户键入主密码时,密钥将加载到程序内存中,并且保险库将解锁。存储在保险库中的某些或所有个人密码在使用时也可能临时复制到程序内存中。
ISE研究了应用程序从内存中清除这些秘密的效果,发现有些应用程序留下了“剩余缓冲区”。这些缓冲区可以允许在应用程序仍在运行时恢复主密码或单个用户密码,但应该将其密码库处于锁定状态——用户故意将其锁定或注销。
但是,所有被测试的应用程序在不运行时都充分保护了密码数据库,这意味着如果这些数据库从磁盘上被盗,并且使用了一个强大的主密码,攻击者很难使用暴力技术破解该密码。
唯一的问题是内存抓取攻击,恶意软件或攻击者在RAM内存的内容中搜索机密。问题是,要发动这样的攻击,黑客就需要访问本地计算机。
“主密码不是目标,它只是通往目标的一块踏脚石,”RenditionInfoSec首席顾问JakeWilliams通过电子邮件说。真正的目标是由密码管理器保护的帐户的密码。在用户注入浏览器的地方,表单抓取是窃取帐户密码的一种方法。keylogging是获取这些密码(甚至是主密码本身)的另一种明显方法。”
甚至ISE的研究人员在他们的报告中也提到,“无论密码管理者如何严格遵守我们提出的‘安全保证’,键盘记录或剪贴板嗅探恶意软件/方法的受害者都没有任何保护。”
专家说,尽管存在漏洞,但仍继续使用密码管理器
这种漏洞的存在只能在某种程度上得到缓解,这并没有使密码管理器变得更不有用和更不必要,尤其是由于大量的帐户泄露是由于人们使用弱密码或将同一密码重新用于多个帐户而造成的。
用户保护其在线数据的最佳方法之一是为每个在线帐户设置唯一的密码。唯一合理的方法是使用密码管理应用程序来跟踪大量长而复杂的密码。
据威廉斯说,建议人们停止使用密码管理器是因为存在记忆刮伤风险,这类似于建议人们在开车时不要使用安全带,因为在极少数情况下,他们会在发生事故时将人困在车内。”不过,这个类比实际上比这要差一点,”威廉姆斯说。在安全带方面的类比,我有一些例子,我可以指出他们实际上造成了伤害。我不能举出一个例子,密码管理器是通过内存抓取而被破坏的。”
然而,内存抓取恶意软件确实存在,并且在过去已经被使用,例如,从受损的销售点系统窃取信用卡信息。2013年的目标数据泄露导致4100万张支付卡的折衷,这是采用此类技术的一个引人注目的案例。
只要攻击者知道在哪里查找信息,这种恶意软件就可以很容易地扩展为从内存中窃取任何数据,包括密码。这并不能改变这样一个事实:如果攻击者可以在系统上运行恶意软件,他们也可以运行一个键盘记录器并以这种方式获取密码,这非常容易,而且不需要任何专门知识。
保护运行程序内存中的秘密问题多年来一直是一个难以解决的问题。这就是为什么有些设备有专用的加密芯片,它们与主CPU并行运行或一起运行,用于存储加密密钥或执行涉及这些密钥的敏感操作。
页:
[1]