密码管理器研究显示密码可能会暴露给攻击者
- 类别: 安全
使用密码管理器是您必须确保使用安全的,无法猜测的密码来保护所有在线帐户的少数选项之一。
其主要原因是,大多数Internet用户发现不可能记住数十个甚至数百个Web服务的安全密码,除非他们使用简单的基本规则或重复使用相同的密码。
尽管诸如Firefox或Google Chrome之类的Web浏览器提供了大量的密码管理器,但通常归结为选择提供所需功能的密码管理器。
密码管理器的实际安全性,如何处理密码,何时将密码发送到服务器以及何时不将密码发送给服务器,在大多数情况下并不是真正透明的。
来自Marc Blanchou和Paul Youn的最新研究“无处不在的密码管理器” 合作伙伴 分析了基于浏览器的密码管理器在被激活时如何与网站交互。
研究人员检查了适用于Chrome和Firefox的LastPass,IPassword和MaskMe,以及适用于Chrome的OneLastPass。具体来说,他们研究了这些密码管理器何时以及如何填写密码信息。
密码管理器的用户可能会对结果感到惊讶,但是已发现所有四个检查的程序都以一种或另一种方式行为不当。
HTTP与HTTPS 注意:MaskMe密码管理器不能区分HTTP和HTTPS方案,这意味着它将不考虑方案而填写密码表格。例如,可以通过中间人攻击来利用此漏洞。
中间人攻击者,例如在公共无线网络上,可以简单地将受害者重定向到带有登录表单和JavaScript的伪造的流行网站的HTTP版本,该表单在MaskMe自动填写后会自动提交。使用MaskMe且启用了自动填充功能(这是默认行为)的任何人都可以通过简单地连接到恶意访问点来很快将其密码窃取,并且受害者永远不会知道。
跨来源提交密码 :发现LastPass,OneLastPass和MaskMe提交了原始密码。这意味着受影响的密码管理器将在站点上填写并发送身份验证信息,即使提交信息的地址与用户所在的站点不同。
忽略子域: 所有四个密码管理器都处理等于根域的子域。这意味着登录信息既要在根域上填写,也要在相同域名的所有子域上填写。
登录页面 :研究中检查的所有密码管理器都不会将其活动限制为用户先前使用的登录页面。如果已保存一个域名的登录名,则该域名上的所有登录名表单都将按此方式处理,而不管它们是否曾经使用过。
这些做法(为方便起见以某种方式处理)可能会使用户面临风险,因为攻击者可能会利用这些问题来窃取密码信息。
研究人员建议用户不要使用某些密码管理器提供的自动填充和自动登录功能。已将结果告知所有公司。