Å huske alle passordene dine til alle dine elektroniske kontoer er utfordrende, og det er derfor passordadministratorer som LastPass, Dashlane og 1Password eksisterer. Men disse enorme krypterte databasene med brukernavn og passord er hovedmål for kriminelle, og mange av programmene har fått brudd.
Denne uken, gratis passordbehandling KeePass kunngjorde på sin side at en sårbarhet eksisterer i sin programvare og hackere kunne sende falske programvareoppdateringer som inneholder skadelig programvare til brukerne ved å stille som den nye KeePass-programvaren. KeePass bruker ukryptert Hypertext Transfer Protocol (HTTP) i stedet for den sikre versjonen HTTPS. (Hvis du ikke vet hva HTTP og HTTPS er, ta en titt på URL-en til denne siden. HTTPS er protokollen som er vert for data som sendes mellom en nettleser og nettsteder. HTTPS er sikker og autentiserer hvert nettsted og serveren du skal lage at et skadelig nettsted ikke utgjør seg som et legitimt nettsted.)
Sikkerhetsforsker Florian Bogner forteller LifeHacker at fordi KeePass bruker HTTP for programvareoppdateringer, kan svindlere opprette en falsk oppdatering tilsatt skadelig programvare.
KeePass forklarer på sin side:
Versjonsinformasjonsfilen lastes ned fra KeePass-nettstedet via HTTP. Dermed kunne en mann i midten (noen som kan fange opp forbindelsen din til KeePass-nettstedet) ha returnert en feil versjonsinformasjonsfil, noe som muligens fikk KeePass til å vise et varsel om at en ny KeePass-versjon er tilgjengelig.
KeePass sier bare fordi en hacker sender deg en falsk oppdatering med skadelig programvare inni, betyr ikke at angrepet er i bevegelse fordi KeePass ikke er vert for automatiske oppdateringer. KeePass-brukere må laste ned en ny versjon manuelt. KeePass sier at brukere bør sjekke den digitale signaturen, og hvis det ikke er skadelig programvare, må du ikke laste den ned.
hvor høy er nick young
For mer informasjon om hvordan du sjekker en digital signatur, se Bogners video nedenfor:
