LassPass等密码管理工具爆出严重安全漏洞
作者:星期三, 七月 16, 20140

Privacy and Security

 

在用户账户密码大规模泄露的今天,经常更换密码成了保障个人数字隐私和信息安全的必要措施,但是随之而来的密码记忆和管理问题使得很多用户甚至专家将目光转向密码管理工具,安全牛在此前的“心脏出血漏洞后如何管理你的账户密码”一文中曾建议用户使用密码管理工具,但最近,随着LassPass等密码管理器再次爆出严重的安全漏洞,这给过于依赖密码管理器(尤其是提供云服务功能的密码管理器)的用户敲响了警钟。

据solidot报道,加州伯克利的研究人员发现了流行密码管理工具的严重安全缺陷。他们将在下个月举行的安全会议上公开报告(PDF)。

研究人员检查了LastPass和其它四个基于Web的密码管理器,发现它们都存在致命缺陷,允许攻击者远程从用户密码库提取出明文密码。LastPass和三家密码管理器已经修正了漏洞。这一发现敲响了警钟,如果学术研究人员能找到破解密码管理器的方法,那么那些经常窃取用户银行账户的骇客应该也能做到。研究人员说,密码管理器的漏洞将允许攻击者一次性的窃取密码库中的所有密码,因此密码管理器的流行将恶化问题。他们在LastPass发现了一个最严重漏洞,密码管理器的书签功能用于自动在网站上填写密码,书签功能的一个bug允许一个网站上嵌入的恶意代码可以窃取其它网站的凭证。攻击者能利用该漏洞入侵使用LastPass登录的用户,只要用户点击书签,攻击者可悄悄窃取属于其它网站的明文密码。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章