密码管理器容易被黑客攻击——以及如何保护自身安全

根据2024年的一项研究，平均每个互联网用户拥有约168个个人账户密码。这比四年前的统计数据大幅增长了68%。考虑到跨账户共享凭证以及使用容易被猜到的密码所带来的安全风险，我们大多数人都需要帮助来管理这些登录信息。密码管理器正是在这种情况下应运而生：它能够帮助我们存储和记住每个在线账户所需的长密码、强密码和唯一密码。

然而，这并不意味着这些密码管理器是万无一失的，或者您可以放松对网络安全的警惕。鉴于它们实际上掌握着我们数字生活的钥匙，因此也成为了网络犯罪分子的热门目标。以下列出了六项潜在风险以及一些应对措施。

6个密码管理器安全隐患
攻击者一旦获取了您密码管理器中存储的凭据，就可以劫持您的帐户进行身份盗窃，或将访问权限/密码出售给他人。这就是为什么他们一直在寻找新的攻击手段。请警惕以下情况：

1. 主密码泄露
密码管理器的优点在于，只需一个易于记忆的密码，即可访问存储所有在线凭证的保险库。然而，这种方法的弊端在于，如果网络犯罪分子获取了主密码，他们就能获得同样的访问权限。这可以通过“暴力破解”攻击实现，即使用自动化工具反复尝试不同的密码，直到找到正确的密码为止。另一种方法是利用密码管理器软件中的漏洞，或者通过钓鱼页面欺骗用户，详情如下所述。

2. 网络钓鱼/诈骗广告
已知有不法分子会在谷歌搜索上发布恶意广告，诱骗受害者访问虚假网站，窃取其电子邮件地址、主密码和私钥（如有）。这些广告的危险之处在于它们看起来非常合法，甚至可能出现在您搜索密码管理器名称时的搜索结果中。它们链接到的钓鱼页面经过伪造，看起来与真实网站别无二致。例如，域名可能是“the1password[.]com”或“app1password[.]com”，而不是真正的“1password.com”。或者，“appbitwarden[.]com”，而不是“bitwarden.com”。如果您点击进入此类页面，就会被引导到一个看似合法的登录页面，该页面旨在窃取您至关重要的密码管理器登录信息。

3. 窃取密码的恶意软件
网络犯罪分子手段之高，令人叹为观止。由于网络空间蕴藏着巨大的利益，一些犯罪分子甚至不惜开发恶意软件，专门窃取受害者密码管理器中的凭证。ESET 的研究人员最近发现了一起由朝鲜政府支持的名为“欺骗性开发”（DeceptiveDevelopment）的攻击活动。他们发现，名为“隐形雪貂”（InvisibleFerret）的恶意软件包含一个后门指令，能够通过 Telegram 和 FTP 从浏览器扩展程序和密码管理器中窃取数据。1Password 和 Dashlane 等密码管理器均成为攻击目标。

在这个案例中，恶意软件隐藏在受害者下载的文件中，而这些文件是精心设计的虚假求职面试流程的一部分。但具有类似特征的恶意代码完全可以通过其他方式传播，例如电子邮件、短信或社交媒体。

4. 密码管理器供应商泄露事件
密码管理器供应商深知自己是网络攻击者的主要目标。因此，他们投入大量时间和资源来尽可能地保障IT环境的安全。但他们只需犯一个错误，就可能让不法分子有机可乘。2022年，LastPass就遭遇了这种最糟糕的情况。网络窃贼入侵了LastPass一名工程师的笔记本电脑，从而访问了公司的开发环境。他们窃取了源代码和包含凭据的技术文档，进而访问了客户数据备份。

这其中包括客户的个人信息和账户信息，这些信息可能被用于后续的网络钓鱼攻击。此外，还包括他们保险库中所有网站的URL列表，以及所有客户的用户名和密码。尽管这些信息都经过加密，但黑客仍然能够通过暴力破解的方式获取它们（如上所述）。据信，这导致了一起高达1.5亿美元的加密货币盗窃案，也警示我们，即使是防护措施最完善的供应商，有时也可能遭受攻击。

5. 虚假密码管理器应用
有时，网络犯罪分子会利用密码管理器的流行度，试图窃取密码并通过虚假应用程序传播恶意软件。即使是通常安全的苹果应用商店，去年也允许用户下载了一款恶意密码管理器应用程序。这些威胁通常旨在窃取至关重要的主密码，或者在用户设备上下载窃取信息的恶意软件。

6. 漏洞利用
密码管理器本质上只是软件。而软件（大部分）是由人编写的，因此不可避免地存在漏洞。如果网络犯罪分子设法找到并利用了其中一个漏洞，他们就可能从你的密码库中窃取凭据。或者，他们也可能攻击网络浏览器密码管理器插件中的漏洞来窃取凭据，甚至是双因素身份验证 (2FA) 代码。他们也可能攻击设备操作系统来达到同样的目的。你的密码管理器下载到的设备越多，他们就越有机会得逞。

如何确保密码管理器使用安全
为防范上述威胁，请考虑以下事项：

想想如何设置一个安全、长且独一无二的主密码。可以考虑使用四个用连字符分隔的易记单词。这样可以增加攻击者“暴力破解”的难度。
务必开启双重验证 (2FA) 以增强账户安全性。这意味着即使黑客获取了您的密码，没有第二重验证，他们也无法访问您的账户。
请确保浏览器、密码管理器和操作系统保持最新状态，使用最安全的版本。这可以降低漏洞被利用的可能性。
请仅从正规应用商店（Google Play、App Store）下载应用，并在下载前检查开发者和应用评分，以防遇到虚假/恶意应用。
只选择信誉良好的供应商提供的密码管理器。多比较几款，直到找到一款让你满意的产品。
为了降低直接从密码管理器窃取密码的攻击威胁，请确保在所有设备上安装来自信誉良好的供应商的安全软件。
密码管理器仍然是网络安全最佳实践的关键组成部分。但前提是您必须采取额外的预防措施。安全风险瞬息万变，因此请密切关注当前的威胁趋势，以确保您的在线凭证始终受到严密保护。