研究發(fā)現(xiàn)密碼管理工具的嚴重安全缺陷
責編:admin |2014-07-17 18:13:26加州伯克利的研究人員發(fā)現(xiàn)了流行密碼管理工具的嚴重安全缺陷。他們將在下個月舉行的安全會議上公開報告(PDF)。
研究人員檢查了LastPass和其它四個基于Web的密碼管理器,發(fā)現(xiàn)它們都存在致命缺陷,允許攻擊者遠程從用戶密碼庫提取出明文密碼。LastPass和三家密碼管理器已經(jīng)修正了漏洞。
這一發(fā)現(xiàn)敲響了警鐘,如果學術研究人員能找到破解密碼管理器的方法,那么那些經(jīng)常竊取用戶銀行賬戶的駭客應該也能做到。
研究人員說,密碼管理器的漏洞將允許攻擊者一次性的竊取密碼庫中的所有密碼,因此密碼管理器的流行將惡化問題。
他們在LastPass發(fā)現(xiàn)了一個最嚴重漏洞,密碼管理器的書簽功能用于自動在網(wǎng)站上填寫密碼,書簽功能的一個bug允許一個網(wǎng)站上嵌入的惡意代碼可以竊取其它網(wǎng)站的憑證。
攻擊者能利用該漏洞入侵使用LastPass登錄的用戶,只要用戶點擊書簽,攻擊者可悄悄竊取屬于其它網(wǎng)站的明文密碼。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧