密码管理器可以说提供了更高的安全性,因为它允许用户轻松地为他们登录的每个网站创建独特的、难以猜测的密码。
但是,如果有人的计算机上安装了键盘记录器,那么当用户输入主密码进入密码管理器时,所有的安全性是不是就都失效了呢?
即使用户实施一次性密码或双因素身份验证,密码管理器仍会在您登录时插入您保存的网站的密码(例如在 KeePass 中自动输入)。
由此看来,如果你的计算机上有键盘记录器,那么你在密码方面就完全没办法了……
或者你是?
答案1
正如@G-Man 在评论中正确指出的那样。
恶意软件仍需上传密码数据库。我指的是 KeePass 及其衍生产品,它们将密码存储在您的电脑上。如果您有云密码管理器,键盘记录器可能会检测到您正在www.lastpass.com
浏览器上打字,或者只是将数据上传给恶意软件的所有者以猜测您使用的云服务。
一般来说,被恶意软件感染的计算机被视为完全违反除非有相反证据。高级键盘记录器还可能捕获剪贴板内容、屏幕状态等。你永远无法证明你受到了儿童玩具或复杂工程的攻击
答案2
答案3
要回答标题中的问题,它没有攻击者可以使用键盘记录器读取您的主密码,因此即使密码管理工具以键盘记录器无法拦截的方式将您的密码传输到字段中,您仍然会被搞砸。运行恶意软件的机器应被视为完全被入侵,并且永远不要将其用于任何安全问题不大的地方。格式化硬盘并重新启动。
使用一次性密码的 2FA 可以在键盘记录器安装到您发现并处理它之间的这段时间内为您提供帮助,这是您绝对应该在可用的地方使用它的众多原因之一。这种方法之所以有效,是因为 OTP 系统中的密码永远不能使用两次,因此找出它是什么毫无意义。
答案4
是的,键盘记录器可以拦截任何输入的内容,这就是为什么高安全性应用程序使用屏幕键盘(使用鼠标、触摸板或触摸界面)。