盡管有新的漏洞報告，密碼管理器仍然是一個重要的安全工具

admin

專家們輕描淡寫地發現了一個可以在計算機內存中暴露密碼的漏洞。黑客可能會更容易地竊取密碼。

安全研究人員最近在一些流行的密碼管理器中發現了一些缺陷，這些密碼管理器允許攻擊者訪問計算機從其內存中檢索密碼。雖然這些漏洞是真實存在的，但是保護內存中的秘密對于軟件行業來說是一個持續存在的問題，專家們指出，竊取密碼的方法要簡單得多。
上周，獨立安全評估機構（ISE）發布了一份引發安全界爭議的報告。ISE是一家安全咨詢機構，有發現軟件漏洞的良好記錄。公司測試了桌面版的lastpass、dashlane、1password版本4、1password版本7和keepass。ISE調查了應用程序在三種狀態下提供的安全保證：不在密碼保險庫鎖定的情況下運行，在密碼保險庫解鎖的情況下運行，但在密碼保險庫鎖定的情況下運行。
為什么黑客可以在內存中找到密碼？
密碼管理器使用從用戶主密碼派生的密鑰加密密碼數據庫。當用戶鍵入主密碼時，密鑰將加載到程序內存中，并且保險庫將解鎖。存儲在保險庫中的某些或所有個人密碼在使用時也可能臨時復制到程序內存中。
ISE研究了應用程序從內存中清除這些秘密的效果，發現有些應用程序留下了“剩余緩沖區”。這些緩沖區可以允許在應用程序仍在運行時恢復主密碼或單個用戶密碼，但應該將其密碼庫處于鎖定狀態——用戶故意將其鎖定或注銷。
但是，所有被測試的應用程序在不運行時都充分保護了密碼數據庫，這意味著如果這些數據庫從磁盤上被盜，并且使用了一個強大的主密碼，攻擊者很難使用暴力技術破解該密碼。
唯一的問題是內存抓取攻擊，惡意軟件或攻擊者在RAM內存的內容中搜索機密。問題是，要發動這樣的攻擊，黑客就需要訪問本地計算機。
“主密碼不是目標，它只是通往目標的一塊踏腳石，”RenditionInfoSec首席顧問JakeWilliams通過電子郵件說。真正的目標是由密碼管理器保護的帳戶的密碼。在用戶注入瀏覽器的地方，表單抓取是竊取帳戶密碼的一種方法。keylogging是獲取這些密碼（甚至是主密碼本身）的另一種明顯方法。”
甚至ISE的研究人員在他們的報告中也提到，“無論密碼管理者如何嚴格遵守我們提出的‘安全保證’，鍵盤記錄或剪貼板嗅探惡意軟件/方法的受害者都沒有任何保護。”
專家說，盡管存在漏洞，但仍繼續使用密碼管理器
這種漏洞的存在只能在某種程度上得到緩解，這并沒有使密碼管理器變得更不有用和更不必要，尤其是由于大量的帳戶泄露是由于人們使用弱密碼或將同一密碼重新用于多個帳戶而造成的。
用戶保護其在線數據的最佳方法之一是為每個在線帳戶設置唯一的密碼。唯一合理的方法是使用密碼管理應用程序來跟蹤大量長而復雜的密碼。
據威廉斯說，建議人們停止使用密碼管理器是因為存在記憶刮傷風險，這類似于建議人們在開車時不要使用安全帶，因為在極少數情況下，他們會在發生事故時將人困在車內。”不過，這個類比實際上比這要差一點，”威廉姆斯說。在安全帶方面的類比，我有一些例子，我可以指出他們實際上造成了傷害。我不能舉出一個例子，密碼管理器是通過內存抓取而被破壞的。”
然而，內存抓取惡意軟件確實存在，并且在過去已經被使用，例如，從受損的銷售點系統竊取信用卡信息。2013年的目標數據泄露導致4100萬張支付卡的折衷，這是采用此類技術的一個引人注目的案例。
只要攻擊者知道在哪里查找信息，這種惡意軟件就可以很容易地擴展為從內存中竊取任何數據，包括密碼。這并不能改變這樣一個事實：如果攻擊者可以在系統上運行惡意軟件，他們也可以運行一個鍵盤記錄器并以這種方式獲取密碼，這非常容易，而且不需要任何專門知識。
保護運行程序內存中的秘密問題多年來一直是一個難以解決的問題。這就是為什么有些設備有專用的加密芯片，它們與主CPU并行運行或一起運行，用于存儲加密密鑰或執行涉及這些密鑰的敏感操作。