溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

使用KeePass密碼管理器要注意的風(fēng)險是什么

發(fā)布時間:2021-12-24 15:01:05 來源:億速云 閱讀:142 作者:柒染 欄目:數(shù)據(jù)安全

今天就跟大家聊聊有關(guān)使用KeePass密碼管理器要注意的風(fēng)險是什么,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

簡介

KeePass是開源免費(fèi)的密碼管理器,自2003年11月發(fā)布以來廣受歡迎。作為第二代密碼管理器的典型代表,KeePass超越了前一代,為密碼管理帶來了真正的加密保護(hù),可以有效防止泄密。

經(jīng)過十幾年的發(fā)展,KeePass功能越來越強(qiáng)大,并且積累了數(shù)百萬用戶。除了最早支持的Windows平臺外,KeePass已經(jīng)被廣泛移植到Linux,Mac,Android,iOS等所有主流平臺。在Play Store中,KeePass2AndroidKeePassDroid等 Android 移植版下載量已經(jīng)超過1百萬。

風(fēng)險

由于KeePass開源免費(fèi),大量用戶慕名而來,但他們卻不理解安全使用KeePass的前提條件。在 Password managers aren't all they're cracked up to be. Here's why一文中,Kayla Matthews介紹了密碼管理器并非牢不可破,警告用戶不要沉迷于假的安全感。開源不會給KeePass一個金鐘罩,如果使用不當(dāng),同樣會面臨嚴(yán)重的風(fēng)險。

絕大多數(shù)的KeePass產(chǎn)品,都使用公共存儲空間保存數(shù)據(jù)庫文件(iOS移植版除外,因?yàn)閕OS沒有公共存儲空間)。加密后的數(shù)據(jù)庫文件,很容易被系統(tǒng)上的其他App訪問,離泄密實(shí)際上只有一個主密碼的距離。

通常,黑客即使偷取了KeePass數(shù)據(jù)庫,也仍然需要破解主密碼才能夠偷取里面保存的密碼。如果主密碼設(shè)置得很長、很復(fù)雜、又不重用,暴力破解還是很有難度的。但是有一類App卻能夠輕而易舉地獲得主密碼:輸入法。

很多人都會使用第三方輸入法,而輸入法把用戶鍵入的字符上傳到云端早已不是什么秘密,要不怎么改進(jìn)輸入體驗(yàn)?zāi)??只要偷?code>KeePass數(shù)據(jù)庫的惡意程序,能夠同時從輸入法的數(shù)據(jù)里面偷取到主密碼,那么破解保存的所有密碼就再容易不過了。又或者,邪惡地想象一下,如果惡意的輸入法偷取了KeePass數(shù)據(jù)庫呢?

使用KeePass密碼管理器要注意的風(fēng)險是什么

在iOS平臺上,由于沙盒限制,即使是輸入法也無法偷取KeePass數(shù)據(jù)庫,但是其他平臺并沒有這個保護(hù)。

Android平臺不是也有沙盒嗎?

Android系統(tǒng)確實(shí)有沙盒保護(hù)機(jī)制,能夠限制惡意程序訪問App的內(nèi)部數(shù)據(jù),可惜幾個流行的KeePassAndroid移植版本,全都把數(shù)據(jù)庫文件保存在外部存儲中。同時,幾乎所有流行的輸入法App都具備偷取密碼的足夠權(quán)限:

外部存儲,可以讀取KeePass數(shù)據(jù)庫文件;

網(wǎng)絡(luò),可以將主密碼和數(shù)據(jù)庫文件發(fā)送到云端。

使用KeePass密碼管理器要注意的風(fēng)險是什么

如果讀取了KeePass的數(shù)據(jù)庫,又知道主密碼,那么再利用KeePass的開源加密算法,就能夠很快解密出保存的密碼。當(dāng)然,開源并非必要條件,在黑客的電腦上使用KeePass程序打開數(shù)據(jù)庫并輸入主密碼,也立即可以解密。

那些流行的輸入法可以信任嗎?

至于你們信不信,我反正信了不信!

建議

在Android這樣有沙盒保護(hù)的平臺上,將密碼數(shù)據(jù)庫保存在外部存儲中是非常危險的,KeePass的開發(fā)者顯然更重視某些便利性,而非用戶數(shù)據(jù)的安全性。如果仍然想要使用 KeePass密碼管理器,建議:

在小米、華為等手機(jī)上,啟用安全鍵盤。在輸入密碼時,安全鍵盤會代替默認(rèn)輸入法,防止密碼被輸入法偷取。

禁止輸入法訪問外部存儲。

禁用輸入法的聯(lián)網(wǎng)權(quán)限,或者選擇沒有聯(lián)網(wǎng)權(quán)限的輸入法(如果你找得到的話)。

當(dāng)然,常規(guī)安全操作也是必不可少的,比如及時更新系統(tǒng)安全補(bǔ)丁,不要安裝來源不明的App等。

看完上述內(nèi)容,你們對使用KeePass密碼管理器要注意的風(fēng)險是什么有進(jìn)一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注億速云行業(yè)資訊頻道,感謝大家的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI