IT 之家 5 月 18 日消息,名为“vdohney”的网络专家近日在密码管理工具 KeePass 中发现漏洞,追踪编号为 CVE-2023-32784 ,可以内存中检索出该软件的主密码。
来源 it 之家: https://www.ithome.com/0/693/405.htm
密码软件还安全吗
1
monkey110 2023-05-18 12:59:28 +08:00
电脑不中毒,不在网吧等公用设备上使用一般没事。
|
2
TsubasaHanekaw 2023-05-18 13:42:41 +08:00
.直接 dump 内存了.该关心的不是这些密码了.
|
3
iyiluo 2023-05-18 13:49:47 +08:00 1
都能检索内存,机器已经变成肉鸡
|
4
totoro52 2023-05-18 13:53:41 +08:00 3
人家都在你家里砸墙了,你问我这个门安不安全
|
5
NoOneNoBody 2023-05-18 14:04:40 +08:00
好吧,老子自己写一个,不过还是要经剪贴板……🐶
不过好奇为什么要存主密码?不是打开库时校验就够了么? |
6
0o0O0o0O0o 2023-05-18 14:04:43 +08:00 via iPhone 2
锁定后从内存中清除密码是密码管理器的必备功能
|
7
gnup 2023-05-18 14:36:56 +08:00
内存泄漏发声在 Keepass 2.x
可以用 keepass 1.x ,缺点是只能保存一个附件 或者可以用 Linux 下的 keepassX 、keepassXC |
8
oldshensheep 2023-05-18 14:44:26 +08:00 1
这个属于是编程上的失误
The flaw exploited here is that for every character typed, a leftover string is created in memory. Because of how .NET works, it is nearly impossible to get rid of it once it gets created. For example, when "Password" is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d. The POC application searches the dump for these patterns and offers a likely password character for each position in the password. https://github.com/vdohney/keepass-password-dumper#how-it-works |
9
benedict00 2023-05-18 14:47:30 +08:00
用 keepassxc 吧
|
10
oldshensheep 2023-05-18 14:52:48 +08:00 2
虽然没有在内存中存储密码,但是输入密码的时候会显示最后一位输入的字符,然后这个字符存在内存中,,比如输入 Pasword 就会有这几个字符串 •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d ,然后就可以获得密码(不能获得第一位,暴力搜索就行)。
如果你是通过复制主密码到输入框就不会被泄露。 |
11
mingwiki 2023-05-18 15:06:54 +08:00
我用的 bitwarden 不知道有没有问题
|
12
ysc3839 2023-05-18 16:21:48 +08:00 via Android 1
传统桌面操作系统一般来说是不防本机运行的恶意软件的,比如 Windows 在有管理员权限的情况下就能从系统进程中读取已登录用户的密码。
没记错的话 KeePass 官网似乎说过,虽然 KeePass 尽量保证内存中的数据是加密的,但是没法防止恶意软件直接伪造 KeePass 界面骗你输入。 |
13
bitmin 2023-05-18 16:56:48 +08:00
我一直是密码+文件登录,能防这个漏洞吗
|
14
AhECbt 2023-05-18 17:01:46 +08:00
我锁丢了!
|
15
adoyle 2023-05-18 19:19:11 +08:00
如果黑客都能在你电脑里读取进程内存了,那他直接监听你的按键记录不是更简单省事。
|