详细内容或原文请订阅后点击阅览
3 个流行的密码管理器的安全性没有承诺的高
经常使用在线服务的人拥有 100 到 200 个密码。很少有人能记住每一个。因此,密码管理器非常有用,允许用户仅使用一个主密码即可访问所有密码。大多数密码管理器都是基于云的。这为用户提供的一个主要优势是能够访问 […]后 3 个流行的密码管理器的安全性低于 Knowridge Science Report 上首次出现的承诺。
来源:Knowridge科学报告经常使用在线服务的人拥有 100 到 200 个密码。
很少有人能记住每一个。因此,密码管理器非常有用,允许用户仅使用一个主密码即可访问所有密码。
大多数密码管理器都是基于云的。
这为用户提供的一个主要优势是能够从不同的设备访问他们的密码,并与朋友和家人共享它们。
安全性是这些密码管理器最重要的功能,因为最终用户将敏感数据存储在这些加密存储平台(通常称为“保管库”)中。这还可以包括网上银行或信用卡的登录详细信息。
因此,大多数服务提供商都以“零知识加密”的承诺来宣传他们的产品。这意味着他们向用户保证他们存储的密码是加密的,甚至提供商本身对密码也“零了解”,并且无法访问已存储的内容。
“我们的承诺是,即使有人能够访问服务器,也不会给客户带来安全风险,因为数据已加密,因此无法读取。我们现在已经证明情况并非如此,”Matilda Backendal 解释道。
Backendal 与苏黎世联邦理工学院应用密码学小组的 Matteo Scarlata、Kenneth Paterson 和 Giovanni Torrisi 一起进行了这项研究。 Backendal 和 Torrisi 目前在卢加诺的意大利大学工作。
访问密码
该团队进行了一项研究,仔细审查了三个流行密码管理器提供商的安全架构:Bitwarden、Lastpass 和 Dashlane。
他们为大约 6000 万用户提供服务,并拥有 23% 的市场份额。研究人员演示了针对 Bitwarden 的 12 次攻击、针对 LastPass 的 7 次攻击以及针对 Dashlane 的 6 次攻击。
奇怪的代码
“由于端到端加密在商业服务中仍然相对较新,因此似乎以前没有人详细研究过它。”