瑞士研究人员在三大主流密码管理器——Bitwarden、LastPass和Dashlane中发现了安全漏洞,并针对每个平台演示了多种潜在攻击方式。
据PCWorld报道,这些漏洞源于过时的1990年代加密技术和复杂的代码架构,这为网络犯罪分子创造了额外的攻击点。
尽管目前不存在迫在眉睫的危险,但相关公司已收到通知,并正在努力修复漏洞,以保护数百万用户的密码库。
Bitwarden、LastPass和Dashlane的安全性可能比您想象的要低,至少根据苏黎世联邦理工学院和位于卢加诺的意大利语区大学(USI)安全研究人员的发现是如此。
据称,他们在这些流行的密码管理器中发现了严重的安全漏洞。编辑写道(机器翻译):“在测试中,他们能够查看甚至更改存储的密码。”
为什么它们存在漏洞?
许多密码管理器将密码以加密形式存储在云端。这样做的好处是,无论您身在何处,都可以在所有设备上访问您的密码。关键在于您的密码是加密的,这保证了密码免受未经授权的访问。即使黑客获得了密码管理器服务器的访问权限,加密也会阻止他们。
但瑞士安全研究人员在流行的密码管理器Bitwarden、LastPass和Dashlane中发现了漏洞:“(研究人员的)攻击范围从破坏目标用户保险库的完整性,到完全攻破使用该服务的组织的所有保险库。在大多数情况下,研究人员能够获取密码——甚至操纵它们。”
研究人员演示了对Bitwarden的12种攻击、对LastPass的7种攻击以及对Dashlane的6种攻击。为此,他们建立了自己的服务器,这些服务器的行为类似于被黑客入侵的密码管理器服务器。然后,研究人员发起了“用户或其浏览器在使用密码管理器时通常会执行的简单交互,例如登录账户、打开保险库、查看密码或同步数据。”
研究人员发现了“非常奇怪的代码架构”,这可能是由于公司试图“为客户提供尽可能用户友好的服务,例如恢复密码或与家人共享账户的能力。”
这不仅使代码架构更加复杂和混乱,最终还增加了黑客的潜在攻击点数量。安全研究人员警告说:“此类攻击不需要特别强大的计算机和服务器,只需要能够伪装服务器身份的小程序即可。”
在公布他们的发现之前,研究人员通知了每个密码管理器,以便他们有足够的时间来修复这些缺陷。他们都做出了积极的回应,但并非都以相同的速度修复了漏洞。
归咎于过时的加密方法
根据研究人员的说法,漏洞的原因显而易见:“与密码管理器开发人员的讨论揭示了他们不愿发布系统更新,担心客户可能因此无法访问其密码和其他个人数据。这些客户包括数百万个人和数千家公司,他们将整个密码管理托付给这些提供商。可以想象突然失去数据访问权限的后果。因此,许多提供商固守着1990年代的加密技术,尽管这些技术早已过时。”
解决这一困境的唯一方法是所有密码管理器都在加密技术上进行更新,至少对新客户如此。现有客户则可以自行决定“是希望迁移到新的、更安全的系统并在那里转移密码,还是希望留在旧系统中——同时意识到现有的安全漏洞。”
您应该怎么做?
研究人员向我们保证,目前没有迫在眉睫的危险,并表示他们“没有理由相信密码管理器提供商目前存在恶意或被攻破,只要情况仍然如此,您的密码就是安全的。然而,密码管理器是备受瞩目的目标,安全漏洞确实会发生。”
任何考虑使用密码管理器的人都应该选择“公开披露潜在安全漏洞、经过外部审计、并默认启用端到端加密”的密码管理器。
