1. 软市首页
  2. 行业观察

密码管理软件安全堪忧 Password等集体沦陷

行业观察

密码管理软件被视之为是管理大批独特而异常复杂的密码的唯一解决之道。受到许多安全专家的推荐。但是软件总体上易于出错,带来了一系列问题。

来自德国弗劳恩霍夫安全信息技术研究所(SIT)的一个名为TeamSIK的安全研究小组近日发布了安全评估九款流行的Android设备端密码管理软件的结果,包括:My Passwords、Informaticore Password Manager、LastPass、 Keeper、F-Secure KEY、Dashlane、Hide Pictures Keep Safe Vault、Avast Passwords和1Password。结果都不尽如人意。

该研究小组说:“总体结果让人极其担忧,表明了尽管密码管理软件声称安全可靠,但是并没有为存储的密码和登录信息提供足够强大的保护机制。恰恰相反,它们滥用了用户的信任,将用户暴露在高风险面前。”

该研究小组在每一款管理软件中都发现了一个或多个安全漏洞,这些漏洞都上 给了软件开发商,在该小组公布调查结果之前,披露的漏洞已得到了修复。在这些比较知名的密码管理软件中,大多数修复只花了一周至一个月,修复时间值得点赞。但因为现在黑客拥有钻这些软件的高危版本空子需要的所有信息。很难确保你已经为以后的使用中打上了补丁。

发现的这些漏洞有的很严重,比如以明文格式存储用户输入的主密码,或者在应用程序代码中使用硬编码的加密密钥,或者设计漏洞让研究人员得以使用第三方应用软件,提取理应安全的登录信息。

研究人员表示,许多软件没有顾及剪贴板嗅探(clipboard sniffing)这种可能性;如果不法分子通过嗅探剪贴板,就能获取之前拷贝到内存中、以便粘贴到密码录入界面的登录信息。

更糟糕的事,许多这些软件实施了影响应用软件安全的便利功能。比如说,一些软件包括内置的Web浏览器,因而扩大了潜在漏洞的范围。另外,研究人员还发现,这些软件中的自动填充功能可以通过“隐藏的 络钓鱼”获取存储的秘密信息。

下面列出了这个小组发现和披露的问题:

MyPasswords

SIK-2016-019:读取My Passwords软件的私密数据

SIK-2016-020:My Passwords软件的主密钥破解

SIK-2016-043:发掘My Passwords的免费高级功能

Informaticore Password Manager

SIK-2016-021:Mirsoft Password Manager中不安全的登录信息存储

LastPass Password Manager

SIK-2016-022:LastPass Password Manager中的硬编码主密钥

SIK-2016-023:LastPass浏览器搜索中的隐私和数据泄露

SIK-2016-024:读取LastPass Password Manager的私密数据(存储的主密码)

Keeper Passwort-Manager

SIK-2016-025:绕开Keeper Password Manager安全问题

SIK-2016-026:不用主密码的Keeper Password Manager数据注入

F-Secure KEY Password Manager

SIK-2016-027:F-Secure KEY Password Manager不安全的登录信息存储

Dashlane Password Manager

SIK-2016-028:读取Dashlane Password Manager中应用程序文件夹的私密数据

SIK-2016-029:Dashlane Password Manager浏览器中的谷歌搜索信息泄露

SIK-2016-030:从Dashlane Password Manager提取主密码的残留攻击

SIK-2016-031:Dashlane Password Manager内置浏览器中的子域密码泄露

Hide Pictures Keep Safe Vault

SIK-2016-032:Keepsafe明文密码存储

Avast Passwords

SIK-2016-033:从Avast Password Manager窃取应用程序密码

SIK-2016-035:Avast Password Manager中热门 站的默认URL不安全

SIK-2016-037:Avast Password Manager中实施的安全通信机制有缺陷

1Password – Password Manager

SIK-2016-038:1Password内置浏览器中的子域密码泄露

SIK-2016-039:1Password内置浏览器中Https URL默认降级为http URL

SIK-2016-040:1Password数据库中的标题和URL未加密

SIK-2016-041:读取1Password Manager中应用程序文件夹的私密数据

SIK-2016-042:隐私问题,信息泄露给厂商1Password Manager

不能说密码管理软件增加的风险多过它们消除的风险,只是必须将维护好这类软件当作优先事项,以便确保其安全,才可以高枕无忧。

弗劳恩霍夫安全信息技术研究所的一名恶意软件研究人员,西格弗里德·拉斯索弗(Siegfried Rasthofer),他在发给The Register的电子邮件中说:“由于所有厂商都修复了安全问题,我们给客户提出的忠告就是,记得始终更新软件。”

相关阅读:

声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

上一篇 2017年2月2日
下一篇 2017年2月2日

相关推荐

首页
软市超市
企服市场
会员中心