Keepass在内存中的密码保护

信息安全 守望先锋
2021-09-06 19:28:09

这里有很多“内存中的密码”和“keepass”相关的(旧)主题,但其中大部分是关于如何加强密钥保护;此外,Keepass 的保护机制似乎在过去几年中有所发展。

在 2021 年,随着 KeePass 的运行和解锁,我知道主密钥存储在 RAM 中(虽然被混淆了)。因此,您唯一容易受到攻击的时刻是当您的 KeePass 在一天中保持解锁状态并且有人可以对您的设备进行某种控制时,最好是在远程会话(RDP、C2、TeamViewer 等)或物理上(未受保护的 Windows 10会话据我了解,在会话锁定时,您无法再轻松地从 USB/FW 端口转储 RAM)。

问题一:今天上面的内容还对吗?

问题 2:虽然 KeePass 已打开并且 RAM 刚刚转储,但自从 KeePass 声明它已被混淆后,是否真的很难*找到主密钥?*困难是指两种情况:

  1. 为国家机构
  2. 对于一个非常好的孤独的黑客,经济能力有限。
1个回答

问题一:今天上面的内容还对吗?

这是唯一一次可以从内存中提取密钥。但是,如果某人具有访问内存的级别,他们可以通过其他方式破坏您的系统,然后在您下次登录时获取您的密钥。

自从 KeePass 声明它被混淆后,找到万能钥匙真的很困难吗?

混淆或一般的隐蔽安全的问题在于,只有一个人必须弄清楚你的系统是如何工作的,然后这个系统对每个人来说都是简单的游戏。

在 KeePass 的特定情况下, KeeThief的存在证明了这一点一个人(或一组)对混淆进行逆向工程,现在国家资助的黑客和孤独的黑客都可以从内存中提取 KeePass 密钥。但是,由于 KeePass 使用DPAPI保护密钥,因此无法单独从隔离的内存转储中提取密钥。相反,您必须能够在同一设备上(在同一用户帐户下)执行代码来解密密钥。

其它你可能感兴趣的问题
上一篇log4j 通常在哪个操作系统特权级别运行? 下一篇密码管理员可以读取我的安全数据吗?如果不是,共享如何在幕后工作?