密码管理器可能容易受到恶意软件攻击

Windows 10的四个流行密码管理器可以将您的登录凭据泄漏到PC的内存中，从而使黑客可以使用恶意软件来定位和窃取数据。然而，密码管理器制造商认为威胁是有限的。

密码管理器是保持您的Internet帐户安全的有用方法。但运行它们的软件并不总是完美的。

根据最新研究，Windows 10的四个流行密码管理器实际上可以将您的登录凭据泄漏到PC的内存中。如果您的计算机被恶意软件秘密接管，这是个坏消息; 当密码管理器打开时，黑客可能会抢夺敏感数据。

这项研究于周二发布，来自位于巴尔的摩的独立安全评估员(ISE)，该公司在LastPass上检查了四种产品的安全性，包括1Password，Dashlane，KeePass和LastPass Free。该公司惊讶地发现，产品并不总是加密，然后在PC的后台进程中删除密码数据。甚至主密码也可以用于解锁所有存储的密码。

例如，1Password7将解密所有个人密码，并在应用程序加载后将其存储在计算机的内存中。当产品仍在运行但处于锁定状态时，登录凭证(包括主密码)也将保留在PC的内存中。研究补充说：“用户必须完全退出软件才能从内存中清除敏感信息。”

另一方面，Dashlane将仅单独公开登录凭证，具体取决于用户要访问的密码。只有当用户试图更新密码时，Dashlane应用程序才会以纯文本形式显示整个数据库。LastPass表现出类似的问题，即使应用程序返回到锁定状态，也可能泄漏凭据。

ISE发布了这项研究，鼓励密码管理器供应商在加载PC时更好地保护登录凭据，尤其是当产品恢复到锁定状态时。

ISE研究员Adrian Bednarek在一份声明中说：“鉴于已经使用密码管理器的人口庞大，这些漏洞将诱使黑客通过恶意软件攻击来攻击这些计算机上的数据。”

DashLane ISE

但不是每个人都同意威胁的严重性。为了解决这些攻击，黑客必须诱骗你安装一些恶意软件，这可能会打开你的PC到各种各样的混乱 - 而不仅仅是密码被盗。

“这个问题的现实威胁是有限的，”1Password的安全开发人员Jeffrey Goldberg在电子邮件中告诉PCMag。“没有密码管理器(或其他任何东西)可以承诺在受感染的计算机上安全运行。”

1Password和KeePass也告诉PCMag，ISE引用的安全问题并不是什么新鲜事，并且之前已经提到它们与其产品的已知权衡。例如，对于Windows操作系统，KeePass必须解密一些敏感数据才能显示密码。

“修复这个特殊问题会带来新的，更大的安全风险，”戈德伯格说。他补充说，1Password将不得不切换到另一种不同的旧编程语言，这种语言可能在其他方面不太可靠，并且使用户不安全。

然而，LastPass表示，它引入了新的安全措施来阻止潜在的密码被盗恶意软件。例如，公司的Windows应用程序现在将在用户注销时关闭并清除系统内存。