KeePass三种保护方式叠加的安全性 – 作者:idguardoffline

坚果云在“有什么值得推荐的密码管理软件？”的回答中介绍了一些密码管理器，作为云存储专家，也懂密码管理器的安全，给你手动点个赞。作为密码管理器专家，我们可以做一些更全面的补充。

要讨论安全性如何，首先要了解攻击手段有哪些，然后再去看厂商采取了哪些方法去应对这些攻击。

一、攻击手段

攻击PC端密码管理器的手段大概可以分为以下三类：

1. 通过物理访问计算机

这种攻击手段比较容易理解，比如说，如果FBI要搜查你的电脑，或是你的电脑丢了被别人捡到，他们就可能入侵你的账号。又或者是你身边的人借用你的电脑，他/她就可以查看存在电脑里面的东西，甚至是拷贝数据。

2. 通过云端攻击服务器

为了方便用户同步数据，很多密码管理器都会将用户的密码加密存储在云端服务器上。如果黑客攻击服务器，就可能会导致数据库泄露，一锅端。像LastPass之前就是服务器被攻击，泄露了用户名、加密的密码等数据，见 LastPass Hacked – Identified Early & Resolved

根据LastPass的加密设计方式可知，用户存储的密码只受主密码保护，参考 密码管理器进化史（2/4）。所以，虽然那次事件泄露的密码是已加密的，但如果黑客通过密码字典等方式对这些数据进行攻击的话，其实很容易就可破解相当一部分用户的密码。

3. 通过在线的本地攻击

即是黑客远程攻击用户的计算机，这也是所有PC端密码管理器都无法规避的风险。

首先，如果电脑上不小心安装了恶意软件，这些恶意软件可能会攻击密码管理器。举个栗子，在2014年，IBM的Trusteer安全部门发现，黑客可以使用恶意软件“城堡”来破坏密码管理和身份验证解决方案，见 Win8用户小心！专门攻击密码管理软件的木马现原形

图片来源：Cybercriminals Use Citadel to Compromise Password Management and Authentication Solutions

其次，恶意程序可能会利用正常软件的漏洞入侵计算机。比如使用Chrome浏览器，如果Chrome有漏洞，当你浏览不安全的网页时，网页中隐藏的恶意程序可能会通过Chrome浏览器来访问你的计算机。

还有就是，利用操作系统漏洞进行攻击。操作系统是密码管理器软件运行的基石，密码管理器都依赖操作系统提供的一些基本安全保护。如果你的计算机操作系统很久都不更新，恶意程序可能就会通过攻击操作系统漏洞来入侵你的计算机，那密码管理器也就处于危险状态了。

二、叠加保护方式

主密码，密钥文件，Windows 用户帐户这三种保护方式叠加使用，能够应对上面说的第1类攻击手段。

KeePass使用本地存储，当然也很好地规避了上面说的第2类攻击手段。

对于第3类攻击手段，KeePass是无法避免的。如果恶意程序要攻击计算机上的KeePass密码管理器，不需要Windows帐户密码，存储在电脑上的密钥文件又很快被找到（通过观察文件的最近访问时间、Windows最近使用的文件列表、扫描程序日志等方式），那就相当于只有主密码这层保护。见 密码管理器进化史(2/4)。

三、KeePass官方建议

摘抄自KeePass官方 https://keepass.info/help/base/keys.html，

简单地说就是，要真正发挥KeePass密钥文件这层保护作用，正确的做法是用移动 U 盘来存储它，使用的时候插上，不用的时候拔掉，这样就可以降低安全风险。

因为相比直接存储在电脑上，这样的操作能够减少密码数据库暴露的时间，可以大大降低与恶意程序运行的时间发生重叠的概率。

但还是要注意的是，这样仍然是无法杜绝攻击的，如果恶意软件一直在运行，仍然有机会偷取加密的数据库。

来源：freebuf.com 2021-02-26 17:14:24 by: idguardoffline