自我介绍以来已经过了一年失落在Shmoocon,在那个时候,密码经理中发现了更多的错误。其中最严重的是在基于浏览器的密码管理器中的扩展,例如LastPass。
Tavis Ormandy昨天展示了A.最新的LastPass版本上的远程代码执行。这不是第一个极度严重的错误他是rikentpass;列出了这么多极度极度严重的错误,将它们列出将是令人疑惑的。但是Lastpass并不孤单:守护者那dashlane.乃至1Password.没有严重的漏洞,允许攻击者窃取用户账户中的所有密码,而无需他们的知识。
这对于一直在关注的人来说,这应该是显而易见的:不再使用基于浏览器的密码管理器扩展,因为它们是基本上的风险,并且有可能将所有凭据偷走,而无论您访问的随意恶意网站是否有任何知识通过恶意。
使用浏览器扩展名密码管理器时,请给攻击者通过JavaScript或DOM与密码管理器进行交互。这就是失去的工作方式,这也是有多少新攻击工作。基于桌面的密码管理器没有这样的访问,因为它们需要首先损害本地计算机,这比访问网页更难。
您的密码管理器扩展Jour可能不会像LastPass一样骑行,但如果它是浏览器扩展,它会受到相同的风险矢量。如果您在企业环境中使用它来共享密码,则现在只有一个用户需要攻击,以通过先前未公开的错误窃取所有密码。
如果您认为犯罪分子不是挖掘立场和其他人现在的错误,你就是天真的。
你应该使用哪些密码经理?
这是否意味着您应该放弃而不使用密码经理?不,但选择比这些公司的营销更棘手会让你相信。
基于桌面的密码经理
任何未驻留在浏览器中的程序比其更安全。在此类别中有许多选择可以选择,并且它们都没有遭受直接访问通行证风险类别。
如果您使用一个,请不要安装浏览器扩展。将密码从应用程序复制并粘贴到浏览器中。我用经过因为易于理解技术人士,但我有很多朋友使用Keepas.。如果您正在购买一家公司的密码管理器,您应该要求查看其最新源代码安全审核的详细信息。如果他们是不愿意的,也许你应该不愿意把你公司的皇冠珠宝放在手里。
将密码复制和粘贴到错误的位置并不是使用危险浏览器密码管理器扩展的足够大风险。如果您在错误的地方不小心粘贴了一个密码,则易于改变。如果您将所有密码偷入新的错误,您将永远不会知道,你甚至没有知道,你几乎没有追索权。
内置浏览器密码管理器
每个主要的浏览器现在都有一个精心设计的内置密码管理器,易于使用。如果您不喜欢将密码粘贴到网站中,这些是一个不错的选择。所有这些都提供了移动同步,因此您可以在GO上进行密码。由于这些验证不适用于这些,因此使用非常强大和独特的密码。
我建议使用非技术用户使用内置密码管理器,因为它们易于使用和充足的安全。
别的什么
计算机上的加密文本文件比浏览器扩展名密码管理器更安全。想想如何妥协:有人需要至少对您的计算机进行用户级访问,然后在暂时未加密的情况下阅读,或者等待您取消加密。无法通过尺度缩小的有效攻击者来完成的。如果他们妥协了你的机器,你有更大的事情即可担心。
未来
我不知道这些浏览器扩展密码经理是否会才能提高我推荐它们。让攻击者能够直接与他们互动的风险太高。其中许多人是营利性公司,显然没有在他们的源代码的深入审计中投入大量资源,因为研究人员在一个小时内发现的琐碎错误。
Teamsik在寻找Android密码管理器错误中的出色工作表明,缺乏安全性不一定限于浏览器扩展,但在密码管理器生态系统中是一个系统的问题。但是,密码管理器浏览器扩展的风险增加使得这些漏洞严重。
我们需要较少的“军方加密”营销,以及他们的代码经审计,结果以及它们如何修复漏洞的频率以及它们的更大透明度。也许这会变得更好。但直到那时,避免浏览器扩展密码管理器。