研究發現密碼管理工具的嚴重安全缺陷
責編:admin |2014-07-17 18:13:26加州伯克利的研究人員發現了流行密碼管理工具的嚴重安全缺陷。他們將在下個月舉行的安全會議上公開報告(PDF)。
研究人員檢查了LastPass和其它四個基于Web的密碼管理器,發現它們都存在致命缺陷,允許攻擊者遠程從用戶密碼庫提取出明文密碼。LastPass和三家密碼管理器已經修正了漏洞。
這一發現敲響了警鐘,如果學術研究人員能找到破解密碼管理器的方法,那么那些經常竊取用戶銀行賬戶的駭客應該也能做到。
研究人員說,密碼管理器的漏洞將允許攻擊者一次性的竊取密碼庫中的所有密碼,因此密碼管理器的流行將惡化問題。
他們在LastPass發現了一個最嚴重漏洞,密碼管理器的書簽功能用于自動在網站上填寫密碼,書簽功能的一個bug允許一個網站上嵌入的惡意代碼可以竊取其它網站的憑證。
攻擊者能利用該漏洞入侵使用LastPass登錄的用戶,只要用戶點擊書簽,攻擊者可悄悄竊取屬于其它網站的明文密碼。