这几个月对密码管理器来说是糟糕的几个月——尽管主要是 LastPass。但在 LastPass遭受重大破坏的消息曝光后,人们的注意力现在转向了开源管理器 KeePass。
指控一直在蔓延,一个新的漏洞允许黑客以未加密的明文暗中窃取用户的整个密码数据库。这是一个非常严肃的说法,但 KeePass 的开发人员对此提出异议。
KeePass 是一种开源密码管理器,它将其内容存储在用户的设备上,而不是像竞争对手的产品那样存储在云端。然而,与许多其他应用程序一样,它的密码库可以使用主密码进行保护。
该漏洞被记录为CVE-2023-24055 ,任何对用户系统具有写入权限的人都可以使用。一旦获得,威胁行为者就可以向 KeePass 的 XML 配置文件添加命令,自动将应用程序的数据库(包括所有用户名和密码)导出到未加密的明文文件中。
由于对 XML 文件所做的更改,该过程全部在后台自动完成,因此不会提醒用户他们的数据库已导出。然后,威胁行为者可以将导出的数据库提取到他们控制的计算机或服务器中。
它不会被修复
然而,KeePass 的开发人员对将过程归类为漏洞提出异议,因为任何对设备具有写入权限的人都可以使用不同(有时更简单)的方法获取密码数据库。
换句话说,一旦有人可以访问您的设备,就不需要这种 XML 攻击了。例如,攻击者可以安装键盘记录器来获取主密码。推理是,担心这种攻击就像马逃跑后关门一样。如果攻击者可以访问您的计算机,修复 XML 漏洞将无济于事。
开发人员争辩说,解决方案是“保持环境安全(通过使用防病毒软件、防火墙、不打开未知电子邮件附件等)”。 KeePass 无法在不安全的环境中神奇地安全运行。”
你能做什么?
虽然 KeePass 的开发人员似乎不愿意解决这个问题,但您可以自己采取一些步骤。最好的办法是创建一个强制配置文件。这将优先于其他配置文件,从而减轻外部力量所做的任何恶意更改(例如数据库导出漏洞中使用的更改)。
您还需要确保普通用户对 KeePass 目录中包含的任何重要文件或文件夹没有写入权限,并且 KeePass .exe 文件和强制配置文件都在同一个文件夹中。
如果您不愿意继续使用 KeePass,还有很多其他选择。尝试切换到最好的密码管理器之一,让您的登录和信用卡详细信息比以往更安全。
虽然这对于密码管理器的世界来说无疑是个坏消息,但这些应用程序仍然值得使用。它们可以帮助您创建强而独特的密码,并在您的所有设备上进行加密。这比对每个帐户都使用“123456”要安全得多。