盡管有新的漏洞報告，密碼管理器仍然是一個重要的安全工具

admin

專家們輕描淡寫地發(fā)現(xiàn)了一個可以在計算機(jī)內(nèi)存中暴露密碼的漏洞。黑客可能會更容易地竊取密碼。

安全研究人員最近在一些流行的密碼管理器中發(fā)現(xiàn)了一些缺陷，這些密碼管理器允許攻擊者訪問計算機(jī)從其內(nèi)存中檢索密碼。雖然這些漏洞是真實(shí)存在的，但是保護(hù)內(nèi)存中的秘密對于軟件行業(yè)來說是一個持續(xù)存在的問題，專家們指出，竊取密碼的方法要簡單得多。
上周，獨(dú)立安全評估機(jī)構(gòu)（ISE）發(fā)布了一份引發(fā)安全界爭議的報告。ISE是一家安全咨詢機(jī)構(gòu)，有發(fā)現(xiàn)軟件漏洞的良好記錄。公司測試了桌面版的lastpass、dashlane、1password版本4、1password版本7和keepass。ISE調(diào)查了應(yīng)用程序在三種狀態(tài)下提供的安全保證：不在密碼保險庫鎖定的情況下運(yùn)行，在密碼保險庫解鎖的情況下運(yùn)行，但在密碼保險庫鎖定的情況下運(yùn)行。
為什么黑客可以在內(nèi)存中找到密碼？
密碼管理器使用從用戶主密碼派生的密鑰加密密碼數(shù)據(jù)庫。當(dāng)用戶鍵入主密碼時，密鑰將加載到程序內(nèi)存中，并且保險庫將解鎖。存儲在保險庫中的某些或所有個人密碼在使用時也可能臨時復(fù)制到程序內(nèi)存中。
ISE研究了應(yīng)用程序從內(nèi)存中清除這些秘密的效果，發(fā)現(xiàn)有些應(yīng)用程序留下了“剩余緩沖區(qū)”。這些緩沖區(qū)可以允許在應(yīng)用程序仍在運(yùn)行時恢復(fù)主密碼或單個用戶密碼，但應(yīng)該將其密碼庫處于鎖定狀態(tài)——用戶故意將其鎖定或注銷。
但是，所有被測試的應(yīng)用程序在不運(yùn)行時都充分保護(hù)了密碼數(shù)據(jù)庫，這意味著如果這些數(shù)據(jù)庫從磁盤上被盜，并且使用了一個強(qiáng)大的主密碼，攻擊者很難使用暴力技術(shù)破解該密碼。
唯一的問題是內(nèi)存抓取攻擊，惡意軟件或攻擊者在RAM內(nèi)存的內(nèi)容中搜索機(jī)密。問題是，要發(fā)動這樣的攻擊，黑客就需要訪問本地計算機(jī)。
“主密碼不是目標(biāo)，它只是通往目標(biāo)的一塊踏腳石，”RenditionInfoSec首席顧問JakeWilliams通過電子郵件說。真正的目標(biāo)是由密碼管理器保護(hù)的帳戶的密碼。在用戶注入瀏覽器的地方，表單抓取是竊取帳戶密碼的一種方法。keylogging是獲取這些密碼（甚至是主密碼本身）的另一種明顯方法。”
甚至ISE的研究人員在他們的報告中也提到，“無論密碼管理者如何嚴(yán)格遵守我們提出的‘安全保證’，鍵盤記錄或剪貼板嗅探惡意軟件/方法的受害者都沒有任何保護(hù)。”
專家說，盡管存在漏洞，但仍繼續(xù)使用密碼管理器
這種漏洞的存在只能在某種程度上得到緩解，這并沒有使密碼管理器變得更不有用和更不必要，尤其是由于大量的帳戶泄露是由于人們使用弱密碼或?qū)⑼�一密碼重新用于多個帳戶而造成的。
用戶保護(hù)其在線數(shù)據(jù)的最佳方法之一是為每個在線帳戶設(shè)置唯一的密碼。唯一合理的方法是使用密碼管理應(yīng)用程序來跟蹤大量長而復(fù)雜的密碼。
據(jù)威廉斯說，建議人們停止使用密碼管理器是因?yàn)榇嬖谟洃浌蝹�風(fēng)險，這類似于建議人們在開車時不要使用安全帶，因?yàn)樵跇O少數(shù)情況下，他們會在發(fā)生事故時將人困在車內(nèi)。”不過，這個類比實(shí)際上比這要差一點(diǎn)，”威廉姆斯說。在安全帶方面的類比，我有一些例子，我可以指出他們實(shí)際上造成了傷害。我不能舉出一個例子，密碼管理器是通過內(nèi)存抓取而被破壞的。”
然而，內(nèi)存抓取惡意軟件確實(shí)存在，并且在過去已經(jīng)被使用，例如，從受損的銷售點(diǎn)系統(tǒng)竊取信用卡信息。2013年的目標(biāo)數(shù)據(jù)泄露導(dǎo)致4100萬張支付卡的折衷，這是采用此類技術(shù)的一個引人注目的案例。
只要攻擊者知道在哪里查找信息，這種惡意軟件就可以很容易地擴(kuò)展為從內(nèi)存中竊取任何數(shù)據(jù)，包括密碼。這并不能改變這樣一個事實(shí)：如果攻擊者可以在系統(tǒng)上運(yùn)行惡意軟件，他們也可以運(yùn)行一個鍵盤記錄器并以這種方式獲取密碼，這非常容易，而且不需要任何專門知識。
保護(hù)運(yùn)行程序內(nèi)存中的秘密問題多年來一直是一個難以解決的問題。這就是為什么有些設(shè)備有專用的加密芯片，它們與主CPU并行運(yùn)行或一起運(yùn)行，用于存儲加密密鑰或執(zhí)行涉及這些密鑰的敏感操作。