研究:5款密码管理软件都有外泄密码之虞
资深安全分析师Adrian Bednarek公布一份密码管理软件的安全研究报告,锁定坊间热门的
5款密码管理工具进行分析,发现它们或多或少都存在着安全漏洞,允许骇客透过内存窥
探主钥匙(Master Key)或存放在软件中的密码。
密码管理软件的主要功能为产生复杂密码及安全储存密码,主钥匙则是密码管理软件的密
码,可用来存取软件中所存放的所有密码。
Bednarek是在Windows 10平台上检验了1Password 7、1Password 4、Dashlane、KeePass与
LastPass,着重于分析它们能否在非使用状态洗涤内存中残留的密码资讯,或是在登出
及进入锁住状态时,能否销毁内存中的密码资讯。
结果发现,所有的密码管理软件在非执行状态时,都能充份保障使用者的机密资讯。不过
,虽然它们也都尝试清洗内存中的机密资讯,但仍会在残留的缓冲区中发现机密资讯,
可能是因为内存外泄、遗失内存参照,或是因GUI框架过于复杂挡住了内部内存管理
机制,而无法销毁它们。
Bednarek说,他认为最重要的是在密码管理软件处于锁住状态时的机密资讯销毁能力,因
为大多数的管理软件会在一段时间之后自动进入锁住状态,直到作业系统或程式因更新活
动而重新启动,这替骇客争取了许多的时间,可直接从内存中窃取部份以明文存放的密
码。
尽管Bednarek认为自己只是在研究密码管理软件得以改善的部份,还是惹来了上述软件开
发商的反驳,所持的立场为这并非密码管理软件的原罪。Threat Post引述了Dashlane执行
长Emmanuel Schalit的看法:“一旦作业系统或装置被入侵,骇客就能存取装置上的任何
资料,且并无有效的防范途径。”1Password则说,对于内存的安全管理问题已被公开讨
论过许多次,迄今的结论都是任何的修补都可能比现况更糟。
即使是在Bednarek的报告出炉之后,大多数的资安专家依然认为密码管理软件是使用者不
可或缺的安全工具,毕竟每个人平均所使用的密码数量已经从2007年的25个增加到2015年
的130个,而且预计到2020年会成长到207个,一来使用者根本无法记住那么多的密码,二
来它也是维护使用者帐号安全的重要工具,总比一直使用同样密码来得安全许多。
iThome
https://www.ithome.com.tw/news/128930