密码管理器的安全性没有承诺的那么高
经常使用在线服务的人拥有 100 到 200 个密码。很少有人能记住每一个。因此,密码管理器非常有用,允许用户仅使用一个主密码即可访问所有密码。 大多数密码管理器都是基于云的。这为用户提供的一个主要优势是能够从不同的设备访问他们的密码,并与朋友和家人分享。安全性是这些密码管理器最重要的功能,因为最终用户将敏感数据存储在这些加密存储平台(通常称为“保险库”)中。这还可以包括网上银行或信用卡的登录详细信息。 因此,大多数服务提供商在宣传其产品时都承诺“零知识加密”。这意味着他们向用户保证他们存储的密码是加密的,甚至提供商本身对密码也“零了解”,并且无法访问已存储的内容。 “承诺是,即使有人能够访问服务器,也不会对客户构成安全风险,因为数据已加密,因此无法读取。我们现在已经证明情况并非如此”,Matilda Backendal 解释道。 Backendal 与苏黎世联邦理工学院应用密码学小组的 Matteo Scarlata、Kenneth Paterson 和 Giovanni Torrisi 一起进行了这项研究。 Backendal 和 Torrisi 目前在卢加诺的意大利大学工作。 完全访问密码 该团队进行了一项研究,仔细审查了三个流行密码管理器提供商的安全架构:Bitwarden、Lastpass 和 Dashlane。他们总共为大约 6000 万用户提供服务,并拥有 23% 的市场份额。研究人员演示了针对 Bitwarden 的 12 次攻击、针对 LastPass 的 7 次攻击以及针对 Dashlane 的 6 次攻击。 为此,他们建立了自己的服务器,其行为类似于被黑客入侵的密码管理器服务器。他们的假设是,在受到攻击后,服务器会表现出恶意行为(恶意服务器威胁模型),并且在与客户端(例如 Web 浏览器)交互时,它们会任意偏离预期行为。 他们的攻击范围从影响特定目标用户保管库的完整性违规到使用该服务的组织内所有保管库的完全受损。在大多数情况下,研究人员能够访问密码,甚至对其进行更改。 要实现这一目标,他们所需要的只是用户或其浏览器在使用密码管理器时例行执行的简单交互,例如登录帐户、打开保管库、查看密码或同步数据。苏黎世联邦理工学院计算机科学教授帕特森表示:“由于密码管理器包含大量敏感数据,它们很可能成为经验丰富的黑客的目标,他们能够渗透服务器并从服务器发起攻击。”类似的攻击过去已经发生过。 令人困惑的代码 “我们对安全漏洞的严重性感到惊讶,”帕特森说。他的团队已经在其他基于云的服务中发现了类似的漏洞,但由于密码管理器存储的关键数据,他们假设密码管理器的安全标准要高得多。 “由于端到端加密在商业服务中仍然相对较新,因此似乎以前没有人详细研究过它。” 应用密码学小组的博士生 Matteo Scarlata 实施了部分攻击。当他开始分析各种密码管理器的编码方式时,他很快发现了一些非常奇怪的代码架构。在他看来,这些公司正试图为客户提供最人性化的服务,例如提供恢复密码或与家庭成员共享帐户的功能。 […]