移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

安全研究:第三方密码管理工具有“致命伤”

时间:2014-07-25 13:24来源:TuZhiJiaMi企业信息安全专家 点击:
谈到网络安全,不得不提到密码保护。不少网民常常用到第三方密码管理工具,辅助加密、防范上网安全问题。不过安全研究人员发现,目前流行的密码管理工具存在严重安全缺陷,预计在8月
Tags应用安全(1006)密码管理工具(1)  

  谈到网络安全,不得不提到密码保护。不少网民常常用到第三方密码管理工具,辅助加密、防范上网安全问题。不过安全研究人员发现,目前流行的密码管理工具存在严重安全缺陷,预计在8月的安全会议上发布安全报告。

  据国外Arstechnica网站介绍,这些研究人员分别检查了人气产品LastPass、以及其他三款基于Web的密码管理器,同时发现四款产品存在严重安全缺陷。其中最严重的Bug允许攻击者远程从用户的密码库中提取明文密码,而且无需任何安全验证。

  所幸的是,LastPass和其他三款同类产品的开发者已及时修复该“致命伤”,不过还是敲响了第三方密码管理工具的安全警钟。如果这些加州大学学术研究员再一次找到破解LastPass第三方密码管理器途径,那其他网络罪犯同样也可能实现该攻击方式。

  据加州大学的研究人员介绍,他们在LastPass发现了一个最严重漏洞,主要应用在自动填写网站密码,该书签功能的bug允许通过嵌入网站的恶意代码窃取其它网站的凭证。然后,攻击者能利用该漏洞入侵正在使用LastPass登录的用户,只要用户点击书签,攻击者就可以悄悄窃取其他网站的明文密码。

------分隔线----------------------------

推荐内容