背景
《安全科普:你的密码在谁的手里?》引起了广泛讨论,为了保护密码安全,作者给出了以下安全建议:
1、定期修改自己的密码; 2、重要网站的账号密码和非重要网站的账号密码一定要分开,如天猫、京东等涉及金钱的,最好做到账号密码都不一样; 3、密码具备一定的复杂度,如超过8位,包含大小写及特殊符号,为了方便记忆,可使用专门的密码软件管理自己的密码,比较著名的有keepass;请注意第二、第三条:尽量做到每个网站使用不同的账号密码,使用密码管理软件Keepass……
KeePass Password Safe是专门为了解决人类记不得众多密码的问题所产生的,它包含了一个强大的密码产生引擎与加密储存机能,能够提供一个安全的密码储存空间。通过KeePass等密码管理软件,我们能够轻松地实现“一账号一密码”,解决一个账号被盗全网遭殃的悲剧。
网络罪犯们永远在见着拆招。现在,他们又盯上了密码管理软件。
密码管理软件:网络罪犯们的新目标
据IBM Trusteer的研究者报道,攻击者们会使用一种键盘记录器来窃取密码管理软件主密码。攻击者设计了一个Citadel木马配置文件,当用户使用密码管理软件Password Safe和KeePass时,该文件会立即启动键盘记录器。
针对密码管理软件的攻击会更加流行
对重要数据而言,密码通常不会被当作一种安全的认证机制,因为容易记忆的密码就一定容易被猜解。于是密码管理软件就应运而生了。
密码管理软件可以允许用户为每个单独的账户创建不同且复杂的密码,还会为其存储的信息进行加密。但这项技术并非牢不可破,今年夏天就有安全研究者在一些密码存储程序中发现了漏洞。
虽然当下该恶意软件的影响很小,但是IBM Trusteer的研究员称,以密码管理软件为攻击目标的事件将来一定会流行的。一旦攻击者获取了密码管理软件主密码,那么他就可以用这个主密码完全掌控这台机器和这台机器上的所有网上账户。网络犯罪者们已经越来越热衷于窃取那些放置于在线密码存储服务中的密码。
入侵途径
只要运行开源密码管理软件Password Safe或者KeePass ,Citadel木马配置文件就会驱动恶意软件启动键盘记录器,记录用户输入的信息。在获得密码管理软件主密码之后,恶意软件会把这些敏感信息发送到攻击者们已经入侵的web服务器上。
到目前为止我们还不清楚这种攻击的最终目标是什么,攻击者是谁,只知道它当前的目标是窃取密码管理软件主密码。能自动生成随机密码的密码管理器有助于增强在线账号的安全性,但如果密码管理器的主密码失窃,其保存的所有密码将会同时失窃,影响要比单一账户被攻陷严重得多。