Windows 10的四個流行密碼管理器可以將您的登錄憑據(jù)泄漏到PC的內(nèi)存中，從而使黑客可以使用惡意軟件來定位和竊取數(shù)據(jù)。然而，密碼管理器制造商認為威脅是有限的。

密碼管理器是保持您的Internet帳戶安全的有用方法。但運行它們的軟件并不總是完美的。

根據(jù)最新研究，Windows 10的四個流行密碼管理器實際上可以將您的登錄憑據(jù)泄漏到PC的內(nèi)存中。如果您的計算機被惡意軟件秘密接管，這是個壞消息; 當密碼管理器打開時，黑客可能會搶奪敏感數(shù)據(jù)。

這項研究于周二發(fā)布，來自位于巴爾的摩的獨立安全評估員(ISE)，該公司在LastPass上檢查了四種產(chǎn)品的安全性，包括1Password，Dashlane，KeePass和LastPass Free。該公司驚訝地發(fā)現(xiàn)，產(chǎn)品并不總是加密，然后在PC的后臺進程中刪除密碼數(shù)據(jù)。甚至主密碼也可以用于解鎖所有存儲的密碼。

例如，1Password7將解密所有個人密碼，并在應用程序加載后將其存儲在計算機的內(nèi)存中。當產(chǎn)品仍在運行但處于鎖定狀態(tài)時，登錄憑證(包括主密碼)也將保留在PC的內(nèi)存中。研究補充說：“用戶必須完全退出軟件才能從內(nèi)存中清除敏感信息。”

另一方面，Dashlane將僅單獨公開登錄憑證，具體取決于用戶要訪問的密碼。只有當用戶試圖更新密碼時，Dashlane應用程序才會以純文本形式顯示整個數(shù)據(jù)庫。LastPass表現(xiàn)出類似的問題，即使應用程序返回到鎖定狀態(tài)，也可能泄漏憑據(jù)。

ISE發(fā)布了這項研究，鼓勵密碼管理器供應商在加載PC時更好地保護登錄憑據(jù)，尤其是當產(chǎn)品恢復到鎖定狀態(tài)時。

ISE研究員Adrian Bednarek在一份聲明中說：“鑒于已經(jīng)使用密碼管理器的人口龐大，這些漏洞將誘使黑客通過惡意軟件攻擊來攻擊這些計算機上的數(shù)據(jù)。”

DashLane ISE

但不是每個人都同意威脅的嚴重性。為了解決這些攻擊，黑客必須誘騙你安裝一些惡意軟件，這可能會打開你的PC到各種各樣的混亂 - 而不僅僅是密碼被盜。

“這個問題的現(xiàn)實威脅是有限的，”1Password的安全開發(fā)人員Jeffrey Goldberg在電子郵件中告訴PCMag。“沒有密碼管理器(或其他任何東西)可以承諾在受感染的計算機上安全運行。”

1Password和KeePass也告訴PCMag，ISE引用的安全問題并不是什么新鮮事，并且之前已經(jīng)提到它們與其產(chǎn)品的已知權(quán)衡。例如，對于Windows操作系統(tǒng)，KeePass必須解密一些敏感數(shù)據(jù)才能顯示密碼。

“修復這個特殊問題會帶來新的，更大的安全風險，”戈德伯格說。他補充說，1Password將不得不切換到另一種不同的舊編程語言，這種語言可能在其他方面不太可靠，并且使用戶不安全。

然而，LastPass表示，它引入了新的安全措施來阻止?jié)撛诘拿艽a被盜惡意軟件。例如，公司的Windows應用程序現(xiàn)在將在用戶注銷時關(guān)閉并清除系統(tǒng)內(nèi)存。