這五款密碼管理軟件均可能密碼外泄

資深安全分析師Adrian Bednarek公佈一份密碼管理軟件的安全研究報告，鎖定坊間熱門的5款密碼管理工具進行分析，發現它們或多或少都存在着安全漏洞，容許黑客透過內存窺探主鑰匙（Master Key）或存放在軟件中的密碼。密碼管理軟件的主要功能爲產生複雜密碼及安全儲存密碼，主鑰匙則是密碼管理軟件的密碼，可用來存取軟件中所存放的全部密碼。Bednarek是在Windows 10平臺上檢驗了1Password 七、1Password 四、Dashlane、KeePass與LastPass，着重於分析它們可否在非使用狀態洗滌內存中殘留的密碼信息，或是在註銷及進入鎖住狀態時，可否銷燬內存中的密碼信息。結果發現，全部的密碼管理軟件在非執行狀態時，都能充份保障用戶的機密信息。不過，雖然它們也都嘗試清洗內存中的機密信息，但仍會在殘留的緩衝區中發現機密信息，多是由於內存外泄、遺失內存參照，或是因GUI框架過於複雜擋住了內部存儲器管理機制，而沒法銷燬它們。

Bednarek說，他認爲最重要的是在密碼管理軟件處於鎖住狀態時的機密信息銷燬能力，由於大多數的管理軟件會在一段時間以後自動進入鎖住狀態，直到操做系統或程序因更新活動而從新啓動，這替黑客爭取了許多的時間，可直接從內存中竊取部份以明文存放的密碼。儘管Bednarek認爲本身只是在研究密碼管理軟件得以改善的部份，仍是惹來了上述軟件開發商的反駁，所持的立場爲這並不是密碼管理軟件的原罪。Threat Post引述了Dashlane執行長Emmanuel Schalit的見解：「一旦操做系統或裝置被入侵，黑客就能存取裝置上的任何數據，且並沒有有效的防範途徑。」1Password則說，對於內存的安全管理問題已被公開討論過許屢次，迄今的結論都是任何的修補均可能比現況更糟。即便是在Bednarek的報告出爐以後，大多數的資安專家依然認爲密碼管理軟件是用戶不可或缺的安全工具，畢竟每一個人平均所使用的密碼數量已經從2007年的25個增長到2015年的130個，並且預計到2020年會成長到207個，一來使用者根本沒法記住那麼多的密碼，二來它也是維護使用者帳號安全的重要工具，總比一直使用一樣密碼來得安全許多。圖片來源提供：http://www.cafes.org.tw/info.asp