在令人心痛的安全漏洞的消息传出后，我强调了使用密码管理器为每个站点创建唯一密码的重要性。虽然密码管理器帮助创建和存储唯一的密码，但它们也提供了单点故障。如果有人破解了你的密码管理器，他们将可以通过网络访问你的所有信息。上周晚些时候，来自加州大学伯克利分校的安全研究人员发布了一份报告，称在基于网络的密码管理器中发现了严重的漏洞。他们的研究发现，五个流行的基于网络的密码管理器可以被利用来泄露用户凭证。LastPass，一个非常流行的密码管理器，成为了这次攻击的受害者。最关键的缺陷是攻击者可以在没有检测到的情况下从密码锁中窃取用户密码。LastPass的bookmarklet特性允许用户快速填写用户名和密码，这被证明是不安全的。植入网站的恶意代码可能会窃取其他网站的LastPass证书。LastPass bookmarklet漏洞示意图其他基于网络的密码管理器也没有更好的表现。PasswordBox、RoboForm、my1login和NeedMyPassword都是通过类似的方法利用的。然而，除了NeedMyPassword之外，所有公司都修补了这些漏洞，使它们可以安全地再次使用。"广泛采用不安全的密码管理器可能会让事情变得更糟……毕竟，密码管理器中的漏洞可能会让攻击者一下子窃取用户的所有密码。鉴于密码管理器越来越受欢迎，易受攻击的密码管理器的可能性令人不安，并激励我们的工作，"UCB安全研究人员写道。非基于web的密码管理器（如1Password）不受这些漏洞的影响。1Password开发人员AgileBits在2011年预测了bookmarklets的漏洞，停止了该功能。"在1Password 4中，我们的浏览器扩展不存储（加密或其他）用户凭据。我们的扩展也不能处理人们的1密码主密码。通过这种方式，用户数据和机密就可以与第三方网页的敌对环境保持更大的距离，"1Password的黑魔法防御者杰弗里·戈德伯格（Jeffrey Goldberg）说。是的，那实际上是他的头衔。这项研究是否意味着你应该彻底放弃基于网络的密码管理器？不，一点也不，但你应该看看每个公司的反应如何。就像我之前写的，五个暴露的密码管理器中有四个已经修补了漏洞。LastPass建议在2013年9月之前使用bookmarklet功能的用户更改主密码。想要绝对确保数据安全的用户可以为他们使用的每个站点生成所有新的密码，但是LastPass说他们不认为这是必要的。"确实，许多缺陷都是巨大的，但供应商（除了一家以外）都做出了适当的反应，并在造成任何损害之前修复了这些缺陷。戈德伯格说："供应商和研究人员都应该因为他们处理这些问题的方式而受到表扬。网络安全在不断发展，公司必须保持警惕，以防止未来的攻击。很难预测和防范这些类型的攻击。密码管理器的开发人员需要与安全研究人员密切合作，以维护其产品的安全性。资料来源：devd.me公司[PDF]|最后一次头条图片来源：大卫戈林[Flickr]相关故事严重的Adobe Flash漏洞攻击使您的数据易受攻击贪婪！轻松地从已擦除的Android手机中恢复用户数据如何在Android上永久删除文件