据外媒Softpedia报道，对于那些希望抵御不断增长的攻击数量的计算机用户来说，密码管理器几乎是强制性的，但是最近的研究发现了Windows 10中四个最受欢迎的此类应用程序中的一个重大安全漏洞。

独立安全评估公司(ISE)在Windows 10上对1Password，Dashlane，KeePass和LastPass 进行了安全审计，结果令人担忧。所有这些都将主密码以明文形式保存在PC内存中，这意味着有权访问计算机的黑客可以轻松读取，然后访问存储在密码管理器中的所有数据。主密码是密码管理器用来保护应用程序的密钥，用户在解锁时需要提供密码。

安全研究人员发现，只要密码管理器本身处于锁定状态，该主密码就会以明文形式保留在设备的内存中。这意味着密码管理器已经启动，解锁，然后出于安全原因自动锁定。

“使用专有的逆向工程工具，ISE分析师能够快速评估密码管理器在锁定状态下对密码的处理。ISE发现标准内存取证可用于提取主密码及其应该保护的密码，“研究人员解释说。重要的是要知道从PC内存中读取主密码需要访问设备，无论是物理还是远程。

此外，该报告还强调，尽管此处发现了明显的安全风险，但仍建议使用密码管理器，因为它们会针对依赖弱密码的典型攻击添加额外的保护层。虽然ISE建议开发人员改进密码管理器清理内存的方式，但用户应避免将密码管理器保持在其设备上的锁定状态。

 

了解更多：https://www.securityevaluators.com/casestudies/password-manager-hacking/