4000-110-253
流行的密码管理器中发现诸多安全漏洞. 2020-04-09
约克大学的研究人员说,有几种流行的密码管理器包含安全漏洞,可以利用这些漏洞突破本应使您的密码安全的墙。
在考虑了由19个密码管理器组成的库之后,学者们根据流行度和功能选择对LastPass,Dashlane,Keeper,1Password和RoboForm进行测试。他们发现了总共四个新漏洞,包括1Password和LastPass Android应用程序中的一个漏洞,这些漏洞使它们容易受到网络钓鱼攻击。该漏洞是由于他们使用较弱的匹配条件来识别应建议使用哪些存储凭据进行自动填充的。
“我们的研究表明,来自恶意应用程序的网络钓鱼攻击非常可行,如果诱骗受害者安装恶意应用程序,它就可以在自动填充提示中以合法的方式展示自己,并且成功的可能性很高,” 约克大学计算机科学系的Siamak Shahandashti博士说。他接着补充说,为了纠正这种情况,密码库应添加更严格的匹配条件,而不仅仅是基于“应用程序声称的程序包名称”。
研究人员还发现RoboForm和Dashlane的Android应用程序都容易受到PIN暴力攻击。此缺陷使用户无休止地尝试输入主PIN,最终可能会解锁密码库。
研究人员解释说:“通过手动测试的推算,估计平均甚至需要手动进行随机猜测攻击,才能在2.5小时内找到随机选择的PIN。”断开PIN码。
适当通知工具的各自供应商有关新发现的漏洞的信息。该研究的主要作者迈克尔·卡尔说:“有些被立即修复,而另一些则被认为是低优先级。”
此外,密码管理器还针对六个先前披露的漏洞进行了严格的测试,以查看是否已堵塞安全漏洞。该测试表明,除了其中一个密码管理器之外,所有其他密码管理器都容易受到URL不匹配的影响,并且所有其他人都容易受到忽略子域和HTTP(S)自动填充漏洞的攻击。Dashlane表现最差,因为它很容易受到先前披露的六个漏洞中的五个的攻击。
尽管该团队承认需要“针对密码管理器的严格安全模型和规范化的安全测试”,但他们仍建议企业和个人使用它们,因为与使用密码回收或尝试进行密码回收相比,它们仍然是一种更安全和可用的选择。记住所有人。
值得深思的是,由于人们在选择密码来保护其数据时继续做出可疑的选择,这一事实可以证明,“ 12345”和类似的易于破解的密码仍然是许多网民的普遍选择。
www.wonderonline.cn
