今天就跟大家聊聊有關(guān)使用KeePass密碼管理器要注意的風險是什么���,可能很多人都不太了解�����,為了讓大家更加了解���,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲�。
網(wǎng)站建設哪家好,找創(chuàng)新互聯(lián)建站�����!專注于網(wǎng)頁設計�����、網(wǎng)站建設、微信開發(fā)�、微信平臺小程序開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目�����。為回饋新老客戶創(chuàng)新互聯(lián)還提供了左貢免費建站歡迎大家使用����!
簡介
KeePass是開源免費的密碼管理器,自2003年11月發(fā)布以來廣受歡迎���。作為第二代密碼管理器的典型代表�,KeePass超越了前一代�,為密碼管理帶來了真正的加密保護,可以有效防止泄密���。
經(jīng)過十幾年的發(fā)展��,KeePass功能越來越強大���,并且積累了數(shù)百萬用戶。除了最早支持的Windows平臺外�����,KeePass已經(jīng)被廣泛移植到Linux�,Mac,Android��,iOS等所有主流平臺�。在Play Store中,KeePass2Android, KeePassDroid等 Android 移植版下載量已經(jīng)超過1百萬��。
風險
由于KeePass開源免費����,大量用戶慕名而來,但他們卻不理解安全使用KeePass的前提條件��。在 Password managers aren't all they're cracked up to be. Here's why一文中��,Kayla Matthews介紹了密碼管理器并非牢不可破�,警告用戶不要沉迷于假的安全感。開源不會給KeePass一個金鐘罩����,如果使用不當,同樣會面臨嚴重的風險��。
絕大多數(shù)的KeePass產(chǎn)品,都使用公共存儲空間保存數(shù)據(jù)庫文件(iOS移植版除外����,因為iOS沒有公共存儲空間)。加密后的數(shù)據(jù)庫文件����,很容易被系統(tǒng)上的其他App訪問,離泄密實際上只有一個主密碼的距離�����。
通常����,黑客即使偷取了KeePass數(shù)據(jù)庫,也仍然需要破解主密碼才能夠偷取里面保存的密碼���。如果主密碼設置得很長���、很復雜、又不重用�����,暴力破解還是很有難度的。但是有一類App卻能夠輕而易舉地獲得主密碼:輸入法��。
很多人都會使用第三方輸入法�,而輸入法把用戶鍵入的字符上傳到云端早已不是什么秘密,要不怎么改進輸入體驗呢���?只要偷取KeePass數(shù)據(jù)庫的惡意程序,能夠同時從輸入法的數(shù)據(jù)里面偷取到主密碼���,那么破解保存的所有密碼就再容易不過了����。又或者��,邪惡地想象一下����,如果惡意的輸入法偷取了KeePass數(shù)據(jù)庫呢?
在iOS平臺上�����,由于沙盒限制���,即使是輸入法也無法偷取KeePass數(shù)據(jù)庫�,但是其他平臺并沒有這個保護。
Android平臺不是也有沙盒嗎�?
Android系統(tǒng)確實有沙盒保護機制,能夠限制惡意程序訪問App的內(nèi)部數(shù)據(jù)�,可惜幾個流行的KeePassAndroid移植版本,全都把數(shù)據(jù)庫文件保存在外部存儲中�。同時,幾乎所有流行的輸入法App都具備偷取密碼的足夠權(quán)限:
外部存儲����,可以讀取KeePass數(shù)據(jù)庫文件;
網(wǎng)絡��,可以將主密碼和數(shù)據(jù)庫文件發(fā)送到云端����。
如果讀取了KeePass的數(shù)據(jù)庫,又知道主密碼�,那么再利用KeePass的開源加密算法,就能夠很快解密出保存的密碼�。當然,開源并非必要條件�,在黑客的電腦上使用KeePass程序打開數(shù)據(jù)庫并輸入主密碼,也立即可以解密��。
那些流行的輸入法可以信任嗎?
至于你們信不信����,我反正信了不信!
建議
在Android這樣有沙盒保護的平臺上����,將密碼數(shù)據(jù)庫保存在外部存儲中是非常危險的,KeePass的開發(fā)者顯然更重視某些便利性����,而非用戶數(shù)據(jù)的安全性���。如果仍然想要使用 KeePass密碼管理器�,建議:
在小米�、華為等手機上,啟用安全鍵盤�����。在輸入密碼時�,安全鍵盤會代替默認輸入法,防止密碼被輸入法偷取��。
禁止輸入法訪問外部存儲。
禁用輸入法的聯(lián)網(wǎng)權(quán)限��,或者選擇沒有聯(lián)網(wǎng)權(quán)限的輸入法(如果你找得到的話)���。
當然�,常規(guī)安全操作也是必不可少的���,比如及時更新系統(tǒng)安全補丁���,不要安裝來源不明的App等。
看完上述內(nèi)容�,你們對使用KeePass密碼管理器要注意的風險是什么有進一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容����,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝大家的支持�����。
當前標題:使用KeePass密碼管理器要注意的風險是什么
網(wǎng)站路徑:
http://weahome.cn/article/gipohe.html
重慶分公司
重慶分公司
