争论:密码管理器到底安全不安全?

云安全供应商Armor的威胁抵抗部门主管Troy Dearing表示,使用密码管理器的好处远远超过了可以利用密码管理器访问用户密码的独特场景

新研究发现了流行密码管理器的潜在弱点,但安全专家表示,这些产品仍然是企业和消费者的最佳选择。

位于巴尔的摩的信息安全咨询公司Independent Security Evaluators发现了一些密码管理器漏洞,这些漏洞可以将用户凭据暴露在计算机的内存中。研究人员发现,在某些情况下,主密码以明文可读的格式存储在计算机的内存中。在题为“密码管理员:在秘密管理的引擎下”的研究中,ISE评估了Windows 10上的1Password,Dashlane,KeePass和LastPass,并详细说明了密码管理器漏洞如何使用户暴露于恶意软件攻击。

“在研究完成时,我们发现锁定密码管理器的安全性存在的问题以及我们评估的所有问题都未能在用户进入”锁定状态“时保护密码,”ISE团队通过电子邮件说。“这意味着用户被赋予了错误的安全感。这使我们得出结论,并非所有密码管理器都是平等的。有些人在锁定时安全地管理秘密。我们认为安全产品满足其广告目标非常重要。人们也应该有权了解产品能做什么和不能做什么,因此他们可以选择能够为他们提供他们想要或需要的安全级别的东西。“我们希望很明显,我们认为人们应该继续使用密码管理器,我们希望这项研究对行业有所帮助。

ISE将“处于锁定状态”定义为密码管理器刚刚启动但用户尚未输入主密码,或者用户先前输入了主密码但随后点击了“锁定”或“注销”按钮的情况。

“我们希望很明显,我们认为人们应该继续使用密码管理器,我们希望这项研究对行业有所帮助,”ISE说。“我们确实看到,在研究结果出来之后,一些密码管理员发布了补丁,因此提供了不同级别的安全性。”

TCE战略首席执行官布莱斯·奥斯汀认为,这项关于密码管理器漏洞的研究正在发布重大新闻,因为它是消费者和企业都可以使用的最敏感的安全产品之一。

布莱斯在接受电子邮件采访时说:“话虽如此,我认为这个漏洞显然过于夸张了。” “黑客攻击需要物理访问或计算机的远程黑客攻击,以便网络犯罪分子可以访问整个计算机。如果已经达到了这种访问级别,密码管理器黑客就不再那么严重了。网络犯罪分子可以安装键盘记录器以获取密码,安装病毒以操纵用户访问的网站,并执行勒索软件攻击。“

为什么你仍然应该使用密码管理器

信息安全咨询公司Kudelski Security的全球首席技术官Andrew Howard说,虽然ISE研究很好地详细说明了密码管理器漏洞,并突出了这类产品面临的挑战,但安全漏洞通常可以迅速得到解决。

霍华德在一次电子邮件采访中说,密码管理器的使用仍然值得企业使用。他补充说,使用密码管理器总是比重用密码或将它们存放在不安全的位置更好。

“实际上,企业可以选择单点登录,”他说。“在可能的情况下,企业应该依靠单一的身份提供商,使用户只需一个身份验证代码即可对各种应用程序进行身份验证。这将大大减少对密码管理器的需求并同时提高安全性。”

云安全供应商Armor的威胁抵抗部门主管Troy Dearing表示,使用密码管理器的好处远远超过了可以利用密码管理器访问用户密码的独特场景。

Dearing在一次电子邮件采访中表示,利用密码管理器要比仅仅对网络进行网络攻击更困难。

“有一些方法可以确保当您使用密码管理器时,可以进一步降低滥用的可能性,例如使用非常强大的密码作为主密码,启用多因素身份验证,而不是在任何未明确信任的设备上使用密码管理器(如果您正在旅行,请在手机上打开密码管理器,不要在酒店商务中心的共享计算机上打开它),“他说。

但是,关键基础设施技术研究所的执行董事Parham Eftekhari并没有发现该报告的研究令人惊讶。

Eftekhari在一次电子邮件采访中说:“?这些工具中的大多数作为安全的捷被推销,但现实情况是没有这样的银弹存在。”

他说,基本的网络卫生,复杂的证书和多因素身份验证没有捷径,所有这些都是强大分层防御的要素。

“大多数专家都认为,我们今天熟悉的传统密码模式是不可持续的,不安全的,需要更换,”他说。“现在正在研究的创新者是更安全和可扩展的替代方案。”

密码管理器公司在说什么

ISE报告中引用的密码管理器供应商质疑其产品不安全的概念。根据1Password首席安全官Jeffrey Goldberg的一份声明,该研究中所述密码管理器漏洞的现实威胁是有限的。

戈德伯格说:“能够在记忆中利用这些信息的攻击者已经处于非常有利的地位。” “没有密码管理器(或其他任何东西)可以承诺在受感染的计算机上安全运行。”

开发密码管理器KeePass的Dominik Reichl认为ISE发现的软件过程内存保护的一个众所周知的限制。KeePass?文档说明密码管理器“必须在进程内存中以非加密方式提供敏感数据”,包括密码为未加密的字符串。

根据2015年收购LastPass的LogMeIn,密码管理器漏洞研究提高了人们对内存中保护机密的限制的认识,以防止具有管理权限的攻击者。

“根据其他密码管理员的意见,一旦攻击者拥有本地访问权限和管理员权限,操作系统就会受到攻击,攻击者最终可以访问设备上的任何内容,”声明中写道。“这是一个独立的问题,无论是否使用密码管理器。”

LogMeIn表示,该公司已对LastPass for Applications实施了更改,以减轻并最大限度地降低ISE报告中详述的潜在攻击风险。

“为了降低在LastPass for Applications处于锁定状态时遭受破坏的风险,LastPass for Applications现在将在用户退出时关闭应用程序,清除内存而不留下任何后果,”声明称。

据该公司称,LastPass还在研究如何实施额外的保障措施和保护措施。

声明说:“与往常一样,定期修补计算机并使用有效的防病毒和反恶意软件至关重要。”

Dashlane首席执行官Emmanuel Schalit强调,ISE研究中详述的攻击场景将对受感染设备上的任何应用程序或数据造成巨大威胁。

“如果攻击者能够在最低的操作系统级别完全控制设备,攻击者可以读取设备上的任何信息,这确实是正确的,”他在SearchSecurity的一份声明中说道。“这不是Dashlane或密码管理器的情况,而是任何软件或事实上任何存储数字信息的设备。因此,在网络安全领域,上述情况是极端的,这一点众所周知。在某种意义上说,如果该设备已经完全受到损害,那么任何机制都无法保护设备上的数字信息。“

Schalit强调Dashlane在硬盘上存储的数据是加密的,即使攻击者完全控制了设备,攻击者也无法读取。但是,他注意到攻击情形“仅适用于键入主密码的用户使用Dashlane时设备内存中存在的数据。”

此外,Schalit写道,使用该研究认为人们不应该使用密码管理器存在“危险的逻辑”。“这就像说,’我只愿意接受我将100%受到保护。如果不可能,我不相信任何保护,’”他写道。

给TA打赏
共{{data.count}}人
人已打赏
信息安全

思科cisco再次发布Webex漏洞修复补丁

2019-3-7 0:49:56

信息安全

加密软件公司Coinhive濒临破产

2019-3-7 0:56:35

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索