V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
matrix67
V2EX  ›  信息安全

密码管理器 Passwordstate 被供应链攻击, Passwordstate 建议用户重置所有密码

  •  
  •   matrix67 · 2021-04-25 10:28:00 +08:00 · 3534 次点击
    这是一个创建于 1338 天前的主题,其中的信息可能已经有所发展或是发生改变。
    10 条回复    2021-04-26 11:17:15 +08:00
    Jirajine
        1
    Jirajine  
       2021-04-25 10:35:09 +08:00 via Android   ❤️ 1
    自动更新就是一种“合法的后门”,出现这种问题本身就说明这个秘密管理器的安全模型不合格。
    Tink
        2
    Tink  
       2021-04-25 12:30:09 +08:00 via Android
    我去。。。。这成本有点高
    hronro
        3
    hronro  
       2021-04-25 15:27:21 +08:00
    有点意思,我一直认为像密码管理器这种东西,应该是面向所有普通用户,而不是面向少数极客用户的产品,所以不可能要求用户自己 HOST 所有的东西,像自动更新这种功能应该是必备的。
    然而以当下的情况来看,软件开发商也不可能自己掌控整个生态链的全部上下游,像 Server 、CDN 这些如果全部自己做的基本上不现实,而且即使是自己做也不代表就完全安全了。
    这么说来的话,应该所有的密码管理器应该无一幸免?
    Jirajine
        4
    Jirajine  
       2021-04-25 15:43:10 +08:00 via Android
    @hronro 检查更新可以,自动更新肯定不行。
    合格的安全模型应该能对开发商自身进行防范,即使是 cia 敲门 /他们给得实在太多了的情况下,开发商也没有办法窃取到某一特定用户的信息(推送一个含有后门的版本)。
    hronro
        5
    hronro  
       2021-04-25 15:57:59 +08:00
    @Jirajine
    我觉得没啥区别,举个很简单的例子,现在 iOS 的 App 应该是都没法自动更新的吧,但为什么 Passwordstate 发的申明是要求所有用户去改密码,而不是说 iOS 的用户就不用改了。原因在于 iOS 的用户也一样很可能会中招。

    所以我的点在于是面对普通用户还是专业用户。如果是专业用户,对安全性有极高的要求,他们甚至不该选择无法自己 HOST 的密码管理服务。如果是普通用户,即使没有自动更新,而是让用户自己选择是否更新,那这些普通用户也无法判断这次更新是否是可靠的。这种情况下,通常选择不更新一直停留在低版本的用户风险更大。
    Jirajine
        6
    Jirajine  
       2021-04-25 16:29:47 +08:00   ❤️ 1
    @hronro #5 并不是,自动更新是指(合法地)在用户设备上执行任意代码,通过 appstore 自动更新也满足条件。
    关键点只有一个:如果开发者决定对某一个特定的用户进行攻击,那么用户能否抵御。
    要实现这样的安全模型,是有一定困难的,包括但不限于:
    1. 端到端加密
    2. 代码完全开源,经过安全审计
    3. reproducible build 和 签名验证
    4. 没有“后门”(包括自动更新 /网页版等远程任意代码执行)

    总得来说要保证:软件是开源且经过安全审计的 <-> 用户运行的软件与发布的源代码对应 <->每个用户收到的代码完全一致 <-> (更新)代码和签名可验证

    放在这个例子里,如果没有自动更新,普通用户除非立刻就盲目地更新到了有后门的版本以外,后续看到新闻,或者官方发布了修复,都不会中招。
    siyiye
        7
    siyiye  
       2021-04-25 17:03:45 +08:00
    keepass 。个人免费,本地数据库+同步网盘,也有对应浏览器插件,好用的很
    cjjia
        8
    cjjia  
       2021-04-25 17:13:59 +08:00 via Android
    应该把需要更新的文件加密后再发送给客户端解密再更新。
    rekulas
        9
    rekulas  
       2021-04-25 22:19:06 +08:00
    所以我不放心中心化的密码管理,选择自己再次额外 encode 密码才交给第三方,虽然麻烦,但安全第一

    https://github.com/del-xiong/lastpass_dopass
    crclz
        10
    crclz  
       2021-04-26 11:17:15 +08:00
    @hronro 你可以了解一下 keepass 。keepass 是开源密码管理软件,只提供软件,不提供密码托管服务。
    用户可以通过类似云盘、坚果云等方式同步数据库文件。对于数据库文件,即使被攻击者拿到,只要不知道密码,就无法解开。所以,用户可以放心地将数据库文件放在云盘上面。唯一需要担心的是 keepass 是否是官方版本。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2344 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:05 · PVG 00:05 · LAX 08:05 · JFK 11:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.