PCWorld报道称,瑞士研究人员发现,包括Bitwarden、LastPass和Dashlane在内的多款流行密码管理器存在严重安全漏洞,其根源在于使用了过时的20世纪90年代加密技术。这些安全缺陷可能导致攻击者入侵整个用户密码库,研究人员已成功演示了对每个平台的多次攻击。用户应选择那些安全实践透明、经过外部审计且默认启用端到端加密的密码管理器,同时相关公司正在努力修补这些漏洞。
Bitwarden、LastPass和Dashlane可能不如你想象的那么安全,至少根据苏黎世联邦理工学院(ETH Zurich)和位于卢加诺的意大利语区大学(Università della Svizzera italiana,简称USI)的安全研究人员的发现来看是如此。
据称,他们在这些流行的密码管理器中发现了严重的安全漏洞。编辑写道(机器翻译):“在测试中,他们能够查看甚至更改存储的密码。”
它们为何存在漏洞?
许多密码管理器以加密形式将密码存储在云端。这样做的好处是,无论身在何处,你都可以在所有设备上访问你的密码。关键在于你的密码是加密的,这保证了这些密码能够安全地防止未经授权的访问。即使黑客入侵了密码管理器的服务器,加密措施也会阻止他们。
但瑞士安全研究人员在流行的密码管理器Bitwarden、LastPass和Dashlane中发现了漏洞:“(研究人员的)攻击范围从破坏目标用户密码库的完整性,到完全入侵使用该服务的组织的所有密码库。在大多数情况下,研究人员能够获取密码——甚至操纵它们。”
研究人员演示了对Bitwarden的12次攻击、对LastPass的7次攻击以及对Dashlane的6次攻击。为此,他们建立了自己的服务器,其行为类似于被黑客入侵的密码管理器服务器。然后,研究人员发起了“用户或其浏览器在使用密码管理器时通常会执行的简单交互,例如登录账户、打开密码库、查看密码或同步数据。”
研究人员发现了“非常奇怪的代码架构”,这可能是由于公司试图“为客户提供尽可能用户友好的服务,例如恢复密码或与家人共享账户的能力”而创建的。
这不仅使代码架构更加复杂和混乱,最终还增加了黑客的潜在攻击点数量。安全研究人员警告说:“此类攻击不需要特别强大的计算机和服务器,只需要能够伪装服务器身份的小程序即可。”
在公布研究结果之前,研究人员通知了每个密码管理器,以便它们有足够的时间来修复这些缺陷。它们都做出了积极的回应,但并非都以同样的速度修复了缺陷。
归咎于过时的加密方法
根据研究人员的说法,漏洞的原因显而易见:“与密码管理器开发人员的讨论揭示了他们不愿发布系统更新,担心客户可能因此无法访问其密码和其他个人数据。这些客户包括数百万个人和数千家公司,它们将整个密码管理托付给这些供应商。可以想象突然失去数据访问权限的后果。因此,许多供应商坚持使用20世纪90年代的加密技术,尽管这些技术早已过时。”
解决这一困境的唯一方法是所有密码管理器都进行加密更新,至少对新客户如此。现有客户可以自行决定“是希望迁移到新的、更安全的系统并将密码转移过去,还是希望留在旧系统中——同时意识到现有的安全漏洞。”
你应该怎么做?
研究人员向我们保证,目前没有迫在眉睫的危险,并表示他们“没有理由相信密码管理器提供商目前存在恶意或已被入侵,只要情况仍然如此,你的密码就是安全的。然而,密码管理器是备受瞩目的目标,安全漏洞确实会发生。”
任何考虑使用密码管理器的人都应选择“公开披露潜在安全漏洞、经过外部审计且默认启用端到端加密”的密码管理器。
