久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子遠(yuǎn)程控制軟件

標(biāo)題: 盡管有新的漏洞報(bào)告，密碼管理器仍然是一個(gè)重要的安全工具 [打印本頁(yè)]

作者: admin 時(shí)間: 2019-2-27 10:02
標(biāo)題: 盡管有新的漏洞報(bào)告，密碼管理器仍然是一個(gè)重要的安全工具
專(zhuān)家們輕描淡寫(xiě)地發(fā)現(xiàn)了一個(gè)可以在計(jì)算機(jī)內(nèi)存中暴露密碼的漏洞。黑客可能會(huì)更容易地竊取密碼。
(, 下載次數(shù): 767)
安全研究人員最近在一些流行的密碼管理器中發(fā)現(xiàn)了一些缺陷，這些密碼管理器允許攻擊者訪(fǎng)問(wèn)計(jì)算機(jī)從其內(nèi)存中檢索密碼。雖然這些漏洞是真實(shí)存在的，但是保護(hù)內(nèi)存中的秘密對(duì)于軟件行業(yè)來(lái)說(shuō)是一個(gè)持續(xù)存在的問(wèn)題，專(zhuān)家們指出，竊取密碼的方法要簡(jiǎn)單得多。
上周，獨(dú)立安全評(píng)估機(jī)構(gòu)（ISE）發(fā)布了一份引發(fā)安全界爭(zhēng)議的報(bào)告。ISE是一家安全咨詢(xún)機(jī)構(gòu)，有發(fā)現(xiàn)軟件漏洞的良好記錄。公司測(cè)試了桌面版的lastpass、dashlane、1password版本4、1password版本7和keepass。ISE調(diào)查了應(yīng)用程序在三種狀態(tài)下提供的安全保證：不在密碼保險(xiǎn)庫(kù)鎖定的情況下運(yùn)行，在密碼保險(xiǎn)庫(kù)解鎖的情況下運(yùn)行，但在密碼保險(xiǎn)庫(kù)鎖定的情況下運(yùn)行。
為什么黑客可以在內(nèi)存中找到密碼？
密碼管理器使用從用戶(hù)主密碼派生的密鑰加密密碼數(shù)據(jù)庫(kù)。當(dāng)用戶(hù)鍵入主密碼時(shí)，密鑰將加載到程序內(nèi)存中，并且保險(xiǎn)庫(kù)將解鎖。存儲(chǔ)在保險(xiǎn)庫(kù)中的某些或所有個(gè)人密碼在使用時(shí)也可能臨時(shí)復(fù)制到程序內(nèi)存中。
ISE研究了應(yīng)用程序從內(nèi)存中清除這些秘密的效果，發(fā)現(xiàn)有些應(yīng)用程序留下了“剩余緩沖區(qū)”。這些緩沖區(qū)可以允許在應(yīng)用程序仍在運(yùn)行時(shí)恢復(fù)主密碼或單個(gè)用戶(hù)密碼，但應(yīng)該將其密碼庫(kù)處于鎖定狀態(tài)——用戶(hù)故意將其鎖定或注銷(xiāo)。
但是，所有被測(cè)試的應(yīng)用程序在不運(yùn)行時(shí)都充分保護(hù)了密碼數(shù)據(jù)庫(kù)，這意味著如果這些數(shù)據(jù)庫(kù)從磁盤(pán)上被盜，并且使用了一個(gè)強(qiáng)大的主密碼，攻擊者很難使用暴力技術(shù)破解該密碼。
唯一的問(wèn)題是內(nèi)存抓取攻擊，惡意軟件或攻擊者在RAM內(nèi)存的內(nèi)容中搜索機(jī)密。問(wèn)題是，要發(fā)動(dòng)這樣的攻擊，黑客就需要訪(fǎng)問(wèn)本地計(jì)算機(jī)。
“主密碼不是目標(biāo)，它只是通往目標(biāo)的一塊踏腳石，”RenditionInfoSec首席顧問(wèn)JakeWilliams通過(guò)電子郵件說(shuō)。真正的目標(biāo)是由密碼管理器保護(hù)的帳戶(hù)的密碼。在用戶(hù)注入瀏覽器的地方，表單抓取是竊取帳戶(hù)密碼的一種方法。keylogging是獲取這些密碼（甚至是主密碼本身）的另一種明顯方法�！�
甚至ISE的研究人員在他們的報(bào)告中也提到，“無(wú)論密碼管理者如何嚴(yán)格遵守我們提出的‘安全保證’，鍵盤(pán)記錄或剪貼板嗅探惡意軟件/方法的受害者都沒(méi)有任何保護(hù)�！�
專(zhuān)家說(shuō)，盡管存在漏洞，但仍繼續(xù)使用密碼管理器
這種漏洞的存在只能在某種程度上得到緩解，這并沒(méi)有使密碼管理器變得更不有用和更不必要，尤其是由于大量的帳戶(hù)泄露是由于人們使用弱密碼或?qū)⑼幻艽a重新用于多個(gè)帳戶(hù)而造成的。
用戶(hù)保護(hù)其在線(xiàn)數(shù)據(jù)的最佳方法之一是為每個(gè)在線(xiàn)帳戶(hù)設(shè)置唯一的密碼。唯一合理的方法是使用密碼管理應(yīng)用程序來(lái)跟蹤大量長(zhǎng)而復(fù)雜的密碼。
據(jù)威廉斯說(shuō)，建議人們停止使用密碼管理器是因?yàn)榇嬖谟洃浌蝹L(fēng)險(xiǎn)，這類(lèi)似于建議人們?cè)陂_(kāi)車(chē)時(shí)不要使用安全帶，因?yàn)樵跇O少數(shù)情況下，他們會(huì)在發(fā)生事故時(shí)將人困在車(chē)內(nèi)�！辈贿^(guò)，這個(gè)類(lèi)比實(shí)際上比這要差一點(diǎn)，”威廉姆斯說(shuō)。在安全帶方面的類(lèi)比，我有一些例子，我可以指出他們實(shí)際上造成了傷害。我不能舉出一個(gè)例子，密碼管理器是通過(guò)內(nèi)存抓取而被破壞的。”
然而，內(nèi)存抓取惡意軟件確實(shí)存在，并且在過(guò)去已經(jīng)被使用，例如，從受損的銷(xiāo)售點(diǎn)系統(tǒng)竊取信用卡信息。2013年的目標(biāo)數(shù)據(jù)泄露導(dǎo)致4100萬(wàn)張支付卡的折衷，這是采用此類(lèi)技術(shù)的一個(gè)引人注目的案例。
只要攻擊者知道在哪里查找信息，這種惡意軟件就可以很容易地?cái)U(kuò)展為從內(nèi)存中竊取任何數(shù)據(jù)，包括密碼。這并不能改變這樣一個(gè)事實(shí)：如果攻擊者可以在系統(tǒng)上運(yùn)行惡意軟件，他們也可以運(yùn)行一個(gè)鍵盤(pán)記錄器并以這種方式獲取密碼，這非常容易，而且不需要任何專(zhuān)門(mén)知識(shí)。
保護(hù)運(yùn)行程序內(nèi)存中的秘密問(wèn)題多年來(lái)一直是一個(gè)難以解決的問(wèn)題。這就是為什么有些設(shè)備有專(zhuān)用的加密芯片，它們與主CPU并行運(yùn)行或一起運(yùn)行，用于存儲(chǔ)加密密鑰或執(zhí)行涉及這些密鑰的敏感操作。

歡迎光臨灰鴿子遠(yuǎn)程控制軟件 (http://www.wzgoogletg.cn/)