一项新的研究发现了五个最流行的密码管理器的安全缺陷。现在,对于一些违反直觉的建议:我仍然认为您应该使用密码管理器。周二发表的这项研究报告中,有独立的安全评估人员和其他安全专家向我透露了这些漏洞的消息,这些黑客们也是如此。你不会停止使用安全带,因为它不能保护你免受各种车辆事故的影响。同样适用于密码管理器。
但是这项研究发现密码管理器用户容易受到针对性的恶意软件攻击,它确实为加强我们防御的方法提供了光明。而且,这也说明了一个更大的事实,那就是在有关漏洞和漏洞的头条新闻中消失了:在线安全并不是不可破解的,而是不是最容易被发现的。
密码管理器是将您的所有登录详细信息保存在在线保险箱中的程序。它们是保持安全的关键工具,因为互联网最令人讨厌的事情-密码-导致人们犯了第一安全错误-重复使用密码。黑客知道我们这样做,所以他们从一个被破坏的网站上获取密码,然后在其他网站上尝试。使用一个程序来跟踪所有你唯一的密码需要一些调整,但是它们变得越来越简单,可以使登录更快。
困扰这些程序的问题是:如何将所有密码放在一个篮子里是安全的?如果有人偷了它,你就被洗劫一空。
为了问责制,像ISE的新审计一样重要。它发现了1password、dashlane、keepass、lastpass和roboform的Windows10应用程序在应用程序处于“锁定”模式时在计算机内存中留下了一些密码。对于能够访问电脑的黑客来说,本应隐藏的密码并不比电脑桌面上的文本文件更安全。(研究人员只研究了Windows应用程序,但说它也可能影响苹果的Mac和移动操作系统。)
1密码、lastpass和roboform甚至公开了主密码,用于解锁所有其他密码。首席研究员阿德里安·贝德纳雷克说:“密码管理器上的‘锁定’按钮坏了——有些比其他的更严重。”
这些公司有一系列的反应。Lastpass和Roboform告诉我他们本周会发布更新。Dashlane说,它已经记录了这个问题一段时间,并一直致力于修复,但它有更高的优先级安全问题。Keepass和1Password对Windows的限制和可接受的风险不屑一顾。
研究人员报告漏洞的BugCrowd网站的创始人凯西·埃利斯告诉我,公司必须权衡每一个发现的漏洞的风险,并找出优先顺序。他说:“密码公司有一些最高的安全标准,人们应该能够在晚上睡得很好,因为他们知道这些公司正在认真考虑这些问题。”“漏洞并不神秘——它们是人们不完美的结果——找到它们是件好事。”
为什么这不是一件着火的裤子?因为现在,我们领先于威胁。没有证据表明黑客针对的是个人密码管理器用户的个人电脑。问题是:这会持续多久?
风险是相对的
是的,使用密码管理器将所有密码存储在一个地方存在风险。但是,像黑客一样看待风险是有帮助的:没有“安全”和“不安全”两个词,没有“比安全”或“比更好”两个词,100%的安全需要断开与互联网的连接,然后搬到一个不公开的地堡。
假设存储库不是您的选择,您的选择是:重用密码或信任密码管理器。
如果密码管理公司通过其服务器的漏洞同时公开我们的数百万个密码,那么后者肯定不会更安全。公司对我们的秘密进行加密,不存储用于解锁加密的主密码。如果他们的服务器确实被黑客入侵,那么这些数据就是gobbledygook,没有只有每个用户知道的主密码。(因此,选择一个唯一的主密码,永远不要与任何人共享,绝对不要忘记。)
ISE发现的漏洞引发了另一种风险:密码暴露在个人用户的个人电脑内存中。贝德纳雷克在报告中写道,任何暴露都“将用户的秘密记录置于不必要的风险之中”。但这一发现与我们最坏的情况并不接近。要查看你电脑的内存,黑客可能需要坐在你的电脑前,或者欺骗你安装控制你电脑的恶意软件。
研究人员阿德里安·贝德纳雷克(AdrianBednarek)记录了他写的一个程序如何在锁定时提取用户主密码的密码。(Adrian Bednarek/独立安全评估员)
黑客通常更喜欢大规模攻击,而不是追逐个人,除非它是一个非常有价值的个人。对于大规模的攻击,有很多低挂水果,比如所有那些仍然重用密码的人。
贝德纳雷克的担忧:随着越来越多的人使用密码管理器,恶意软件制造商可能开始瞄准他们的个人电脑窃取密码。乘以数百万的密码管理器用户,一个低风险的个人可能会提交大量暴露的密码。他说他的目标是“建立一个所有密码管理器都应该遵守的合理的最小基线”。
这些公司说,恶意软件不仅对密码管理器用户有风险。一个可以访问你电脑的黑客也可能会使用一些代码,比如一个能屏蔽你所有活动的钥匙记录器——这时,使用密码管理器并不是你唯一的问题。
这些公司和研究人员也不同意在不改变操作系统的情况下,他们能在多大程度上解决内存泄漏问题。Dashlane首席执行官夏利特(EmmanuelSchalit)表示,本地记忆攻击仍是一个假设性问题。他说:“对我们来说,更重要的是加强服务器基础设施或密码技术的核心组件,因为这对我们的用户的安全有更大的实质性影响。”
加强防御
双方都同意一件事:你的个人设备是薄弱环节。如果你正在工作的计算机被破坏了,密码管理器或者任何软件都很难保护你有价值的数据。所以让自己不值得被黑客攻击:
认真地更新软件。新版本包含非常重要的安全补丁。
正在检查您的计算机是否存在恶意软件。我推荐Malwarebytes用于Windows和MacOS。
非常小心地安装来自除微软、苹果和谷歌管理的应用商店以外的其他地方的软件。拒绝Web浏览器扩展和弹出消息。
不在密码管理器中存储非常有价值的秘密,如比特币私钥。
新研究的另一个教训是密码管理器如何处理这个问题。贝德纳雷克说:“他们并非生而平等。”Dashlane和Keepass在保护计算机内存中的主密码方面做得最好。Dashlane仍然是我对消费者的首选密码管理器,尽管它也是最昂贵的。
我还从贝德纳雷克联系他们时,他们对ISE的反应是多么认真,以及在我跟进时,他们对我的反应是多么认真。基帕斯认为这是个老消息,而罗博弗姆几乎没有什么好说的。达什兰让我和它的首席执行官通电话。密码的主要防御黑暗艺术给我发了很长的电子邮件。Lastpass让我和它的高级技术主管交谈——但它也让Bednarek在Bugcrowd上被禁止,该网站是研究人员报告缺陷的网站,因为他向我透露了这个缺陷。
运行密码泄露数据库haveibeenowned.com的安全专家特洛伊·亨特(TroyHunt)说,密码管理器应该尽可能具有弹性。他说:“如果这样做的结果是对密码管理者的影响进一步加强了他们的安全态势,那么这是一件好事。”“只要它不会吓跑他们的用户。”