V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kingpo
V2EX  ›  信息安全

keepass 被爆出安全漏洞,可泄露主密码

  •  
  •   kingpo · 2023-05-18 12:30:03 +08:00 · 5125 次点击
    这是一个创建于 537 天前的主题,其中的信息可能已经有所发展或是发生改变。

    IT 之家 5 月 18 日消息,名为“vdohney”的网络专家近日在密码管理工具 KeePass 中发现漏洞,追踪编号为 CVE-2023-32784 ,可以内存中检索出该软件的主密码。

    来源 it 之家: https://www.ithome.com/0/693/405.htm

    密码软件还安全吗

    15 条回复    2023-05-18 19:19:11 +08:00
    monkey110
        1
    monkey110  
       2023-05-18 12:59:28 +08:00
    电脑不中毒,不在网吧等公用设备上使用一般没事。
    TsubasaHanekaw
        2
    TsubasaHanekaw  
       2023-05-18 13:42:41 +08:00
    .直接 dump 内存了.该关心的不是这些密码了.
    iyiluo
        3
    iyiluo  
       2023-05-18 13:49:47 +08:00   ❤️ 1
    都能检索内存,机器已经变成肉鸡
    totoro52
        4
    totoro52  
       2023-05-18 13:53:41 +08:00   ❤️ 3
    人家都在你家里砸墙了,你问我这个门安不安全
    NoOneNoBody
        5
    NoOneNoBody  
       2023-05-18 14:04:40 +08:00
    好吧,老子自己写一个,不过还是要经剪贴板……🐶

    不过好奇为什么要存主密码?不是打开库时校验就够了么?
    0o0O0o0O0o
        6
    0o0O0o0O0o  
       2023-05-18 14:04:43 +08:00 via iPhone   ❤️ 2
    锁定后从内存中清除密码是密码管理器的必备功能
    gnup
        7
    gnup  
       2023-05-18 14:36:56 +08:00
    内存泄漏发声在 Keepass 2.x
    可以用 keepass 1.x ,缺点是只能保存一个附件
    或者可以用 Linux 下的 keepassX 、keepassXC
    oldshensheep
        8
    oldshensheep  
       2023-05-18 14:44:26 +08:00   ❤️ 1
    这个属于是编程上的失误

    The flaw exploited here is that for every character typed, a leftover string is created in memory. Because of how .NET works, it is nearly impossible to get rid of it once it gets created. For example, when "Password" is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d. The POC application searches the dump for these patterns and offers a likely password character for each position in the password.

    https://github.com/vdohney/keepass-password-dumper#how-it-works
    benedict00
        9
    benedict00  
       2023-05-18 14:47:30 +08:00
    用 keepassxc 吧
    oldshensheep
        10
    oldshensheep  
       2023-05-18 14:52:48 +08:00   ❤️ 2
    虽然没有在内存中存储密码,但是输入密码的时候会显示最后一位输入的字符,然后这个字符存在内存中,,比如输入 Pasword 就会有这几个字符串 •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d ,然后就可以获得密码(不能获得第一位,暴力搜索就行)。

    如果你是通过复制主密码到输入框就不会被泄露。
    mingwiki
        11
    mingwiki  
       2023-05-18 15:06:54 +08:00
    我用的 bitwarden 不知道有没有问题
    ysc3839
        12
    ysc3839  
       2023-05-18 16:21:48 +08:00 via Android   ❤️ 1
    传统桌面操作系统一般来说是不防本机运行的恶意软件的,比如 Windows 在有管理员权限的情况下就能从系统进程中读取已登录用户的密码。
    没记错的话 KeePass 官网似乎说过,虽然 KeePass 尽量保证内存中的数据是加密的,但是没法防止恶意软件直接伪造 KeePass 界面骗你输入。
    bitmin
        13
    bitmin  
       2023-05-18 16:56:48 +08:00
    我一直是密码+文件登录,能防这个漏洞吗
    AhECbt
        14
    AhECbt  
       2023-05-18 17:01:46 +08:00
    我锁丢了!
    adoyle
        15
    adoyle  
       2023-05-18 19:19:11 +08:00
    如果黑客都能在你电脑里读取进程内存了,那他直接监听你的按键记录不是更简单省事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5246 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:33 · PVG 17:33 · LAX 01:33 · JFK 04:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.