详细内容或原文请订阅后点击阅览
流行的密码管理器被证明存在灾难性的漏洞
研究人员发现 Bitwarden、LastPass 和 Dashlane 服务使用非常过时的加密标准。
来源:OSP网站大数据新闻苏黎世联邦理工学院的专家发现密码管理服务 Bitwarden、LastPass 和 Dashlane 存在严重缺陷,这些服务的市场份额合计约为 25%。
使用客户端应用程序识别出用于与服务通信的 API 请求后,研究人员编写了程序来模拟所列系统的被黑客攻击的服务器的操作,并演示了进行大量不同攻击的可能性,包括允许泄露和更改用户密码的攻击。
列出的服务上的密码以加密形式存储,解密仅在用户的设备上进行,因此运营商保证了客户端的安全 - 即使通过黑客攻击服务器,黑客也无法获取纯粹形式的密码。然而,研究表明事实并非如此。
这些问题主要涉及被“诱骗”连接到虚假服务器的客户端应用程序。此外,模拟器程序尤其可以“说服”客户将主密钥的安全级别降低到密码保险箱,并使用 20 世纪 90 年代的技术对其进行加密,从而使其容易受到暴力破解。
此外,研究人员认为存在差距的原因是服务的代码库过于繁琐,同时又希望用户能够尽可能轻松地使用它们。