资深安全分析师Adrian Bednarek公布一份密码管理软件的安全研究报告,锁定坊间热门的5款密码管理工具进行分析,发现它们或多或少都存在着安全漏洞,允许黑客透过内存窥探主钥匙(Master Key)或存放在软件中的密码。密码管理软件的主要功能为产生复杂密码及安全储存密码,主钥匙则是密码管理软件的密码,可用来存取软件中所存放的所有密码。Bednarek是在Windows 10平台上检验了1Password 7、1Password 4、Dashlane、KeePass与LastPass,着重于分析它们能否在非使用状态洗涤内存中残留的密码信息,或是在注销及进入锁住状态时,能否销毁内存中的密码信息。结果发现,所有的密码管理软件在非执行状态时,都能充份保障用户的机密信息。不过,虽然它们也都尝试清洗内存中的机密信息,但仍会在残留的缓冲区中发现机密信息,可能是因为内存外泄、遗失内存参照,或是因GUI框架过于复杂挡住了内部存储器管理机制,而无法销毁它们。
Bednarek说,他认为最重要的是在密码管理软件处于锁住状态时的机密信息销毁能力,因为大多数的管理软件会在一段时间之后自动进入锁住状态,直到操作系统或程序因更新活动而重新启动,这替黑客争取了许多的时间,可直接从内存中窃取部份以明文存放的密码。尽管Bednarek认为自己只是在研究密码管理软件得以改善的部份,还是惹来了上述软件开发商的反驳,所持的立场为这并非密码管理软件的原罪。Threat Post引述了Dashlane执行长Emmanuel Schalit的看法:「一旦操作系统或装置被入侵,黑客就能存取装置上的任何数据,且并无有效的防范途径。」1Password则说,对于内存的安全管理问题已被公开讨论过许多次,迄今的结论都是任何的修补都可能比现况更糟。即使是在Bednarek的报告出炉之后,大多数的资安专家依然认为密码管理软件是用户不可或缺的安全工具,毕竟每个人平均所使用的密码数量已经从2007年的25个增加到2015年的130个,而且预计到2020年会成长到207个,一来使用者根本无法记住那么多的密码,二来它也是维护使用者账号安全的重要工具,总比一直使用同样密码来得安全许多。