研究：5款密碼管理軟體都有外洩密碼之虞

資深安全分析師Adrian Bednarek公布一份密碼管理軟體的安全研究報告，鎖定坊間熱門的5款密碼管理工具進行分析，發現它們或多或少都存在著安全漏洞，允許駭客透過記憶體窺探主鑰匙（Master Key）或存放在軟體中的密碼。

密碼管理軟體的主要功能為產生複雜密碼及安全儲存密碼，主鑰匙則是密碼管理軟體的密碼，可用來存取軟體中所存放的所有密碼。

Bednarek是在Windows 10平台上檢驗了1Password 7、1Password 4、Dashlane、KeePass與LastPass，著重於分析它們能否在非使用狀態洗滌記憶體中殘留的密碼資訊，或是在登出及進入鎖住狀態時，能否銷毀記憶體中的密碼資訊。

結果發現，所有的密碼管理軟體在非執行狀態時，都能充份保障使用者的機密資訊。不過，雖然它們也都嘗試清洗記憶體中的機密資訊，但仍會在殘留的緩衝區中發現機密資訊，可能是因為記憶體外洩、遺失記憶體參照，或是因GUI框架過於複雜擋住了內部記憶體管理機制，而無法銷毀它們。

Bednarek說，他認為最重要的是在密碼管理軟體處於鎖住狀態時的機密資訊銷毀能力，因為大多數的管理軟體會在一段時間之後自動進入鎖住狀態，直到作業系統或程式因更新活動而重新啟動，這替駭客爭取了許多的時間，可直接從記憶體中竊取部份以明文存放的密碼。

儘管Bednarek認為自己只是在研究密碼管理軟體得以改善的部份，還是惹來了上述軟體開發商的反駁，所持的立場為這並非密碼管理軟體的原罪。Threat Post引述了Dashlane執行長Emmanuel Schalit的看法：「一旦作業系統或裝置被入侵，駭客就能存取裝置上的任何資料，且並無有效的防範途徑。」1Password則說，對於記憶體的安全管理問題已被公開討論過許多次，迄今的結論都是任何的修補都可能比現況更糟。

即使是在Bednarek的報告出爐之後，大多數的資安專家依然認為密碼管理軟體是使用者不可或缺的安全工具，畢竟每個人平均所使用的密碼數量已經從2007年的25個增加到2015年的130個，而且預計到2020年會成長到207個，一來使用者根本無法記住那麼多的密碼，二來它也是維護使用者帳號安全的重要工具，總比一直使用同樣密碼來得安全許多。