详细内容或原文请订阅后点击阅览
密码管理器可以保证您的密码安全,除非......
研究人员调查了密码管理器的零知识声明,并发现了一些可能的攻击场景。
来源:Malwarebytes Labs 博客我是密码管理器的大力倡导者。诚然,有更好的密码替代方案,例如万能钥匙,但如果提供商只提供密码选项(许多提供商都这样做),那么您对此无能为力。所以,目前我们似乎被密码困住了。
每个信誉良好的密码管理器都声称他们看不到您的密码,即使他们想这样做。但研究人员发现,这些“零知识”云密码管理器比其营销所暗示的更容易受到攻击。
研究人员还警告说,这并不是恐慌的直接原因。要发生全面的密码泄漏,需要出现罕见的高端故障,例如恶意或完全受损的服务器,再加上特定的设计缺陷和启用的功能。
潜在的“问题”是大多数密码管理器都是基于云的。如果您正在使用另一台设备并需要访问权限,这非常方便,但它也扩大了攻击面。与其他设备或其他用户共享您的密码可能会导致不必要的访问。
研究人员测试了许多不同的供应商,包括 LastPass、Bitwarden 和 Dashlane,并设计了几种可以恢复密码的攻击场景。
弱点
具有用户组的密码管理器
在组中,恢复密钥、组密钥和管理公钥的共享通常意味着它们是从服务器获取的,没有真实性保证。这意味着在适当的情况下,攻击者可以获得访问权限。
当组管理员启用“自动或手动恢复”等策略时,如果组织“策略 blob”(一个小型配置文件)上没有完整性保护,则可以使用受感染的服务器悄悄地更改它们。
受感染服务器上的加密较弱
帐户恢复选项
因此,攻击者可以将本来应该是罕见的、用户可见的紧急流程转变为一种无声的常规机制,他们可以滥用该机制来大规模或以隐秘的、有针对性的方式提取金库密钥。