对于密码管理器来说,这是一个糟糕的几个月–尽管主要是对于LastPass。但在LastPass被揭露遭遇重大漏洞后,人们的注意力现在转向了开源管理器KeePass。
指责声此起彼伏,说一个新的漏洞允许黑客偷偷地窃取用户的整个密码数据库,而且是未加密的明文。这是一个非常严重的说法,但KeePass的开发者对此提出异议。
KeePass是一个开源的密码管理器,其内容存储在用户的设备上,而不是像竞争对手的产品那样存储在云端。然而,像许多其他应用程序一样,它的密码库可以用一个主密码来保护。
该漏洞被记录为CVE-2023-24055,任何有写权限进入用户系统的人都可以使用。一旦获得该权限,威胁者就可以向KeePass的XML配置文件添加命令,自动将应用程序的数据库包括所有用户名和密码—导出到一个未加密的明文文件中。
由于对XML文件的修改,这个过程都是在后台自动完成的,所以用户不会被提醒他们的数据库已经被导出。然后,威胁行为者可以将导出的数据库提取到他们控制的计算机或服务器上。
BUG不会被修复
然而,KeePass的开发者对将这一过程归类为漏洞提出异议,因为任何对设备有写入权限的人都可以通过不同的(有时更简单)方法获得密码数据库。
换句话说,一旦有人能够访问你的设备,这种XML漏洞就没有必要了。例如,攻击者可以安装一个键盘记录器来获取主密码。这种推理是,担心这种攻击就像在马跑了之后把门关上。如果攻击者能够进入你的电脑,修复XML漏洞也无济于事。
开发者认为,解决方案是 “保持环境安全(通过使用防病毒软件、防火墙、不打开未知的电子邮件附件等)。KeePass不能神奇地在不安全的环境中安全运行”。
你能做些什么?
虽然KeePass的开发者似乎不愿意解决这个问题,但你可以自己采取一些措施。最好的办法是创建一个强制的配置文件。这将优先于其他配置文件,减轻任何外部力量的恶意更改(如用于数据库导出漏洞)。
你还需要确保普通用户没有写入KeePass目录中的任何重要文件或文件夹的权限,并确保KeePass .exe文件和强制配置文件在同一个文件夹中。
如果你觉得继续使用KeePass不合适,还有很多其他选择。尝试切换到最好的密码管理器之一,以保持你的登录和信用卡细节比以往更安全。
虽然这对密码管理器的世界来说无疑是更坏的消息,但这些应用程序仍然值得使用。它们可以帮助你创建强大、独特的密码,并在你的所有设备上进行加密。这比在每个账户上使用 “123456 “要安全得多。