LastPass มีบั๊ก โชว์รหัสผ่านเป็น plaintext

By: Bigta

on 20 August 2013 - 00:18 Tags:

Topics:

Security

LastPass

ทีมพัฒนาโปรแกรม LastPass ซึ่งเป็นโปรแกรมช่วยจัดการรหัสผ่าน ได้ออกมาแจ้งเตือนบั๊กใน LastPass เวอร์ชั่น 2.0.20 โดยบั๊กที่ว่านี้จะเกิดเฉพาะผู้ที่ใช้ LastPass ร่วมกับ IE เนื่องจากรหัสผ่านที่ LastPass ใส่เข้าไปในหน้าฟอร์มของ IE นั้นจะถูกเก็บเป็น plaintext ในหน่วยความจำ ซึ่งผู้ไม่หวังดีสามารถใช้โปรแกรมประเภท memory dump เอารหัสผ่านออกมาดูได้

อย่างไรก็ตาม การจะขโมยรหัสผ่านด้วยวิธีนี้ได้ ผู้ไม่หวังดีต้องได้รับสิทธิ์ในการเข้าใช้งานเครื่องโดยตรง ดังนั้นแล้ว นอกจากจะอัพเดต LastPass ให้เป็นเวอร์ชันล่าสุด วิธีป้องกันตัวเองอีกทางคือไม่ควรยอมให้คนอื่นเข้ามาใช้เครื่องได้ง่ายๆ โดยเฉพาะเครื่องที่มีข้อมูลสำคัญเก็บไว้

ที่มา - Help Net Security

Hiring! บริษัทที่น่าสนใจ

Verumex

Supercharging the management of real estate investment portfolios for the biggest firms in the world

LINE Company Thailand

LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call

Blendata co., ltd.,

Become our team which is startup culture but corporate benefits!

Comments

By: Ford AntiTrust

on 20 August 2013 - 00:48 #613206

กรณี LastPass กับ Google Chrome ไม่เหมือนกันเสียทีเดียว

เพราะก่อนที่คุณจะเข้าถึงรหัสผ่านภายในที่ LastPass ดูแลอยู่และโหลดมันเข้าหน่วยความจำ เพื่อเข้าไปดูรหัสผ่าน หรือเปิด LastPass ใช้งานได้ คนใช้งานต้อง login เพื่อใช้ LastPass ให้ถูกต้องเสียก่อน ซึ่งค่าเริ่มต้นของ LastPass ไม่ได้ให้ใช้ remember password (ถ้าใช้ จะมีข้อความแจ้งเตือน) ให้เข้าใช้ LastPass อัตโนมัตินับตั้งแต่เปิด browser เพราะฉะนั้นค่อนข้างลัดกุมมากกว่า Google Chrome ที่ดูแลรหัสผ่านของเราแต่ไม่ได้สอบถามรหัสผ่านเพิ่มเติมใดๆ

By: Bigta

on 20 August 2013 - 00:52 #613207 Reply to:613206

อ๊ะ ขอบคุณครับ งั้นเพื่อป้องกันความเข้าใจผิดผมปรับส่วนที่อ้างอิงข่าว Google Chrome ออกดีกว่า

By: hisoft

on 20 August 2013 - 01:13 #613213 Reply to:613206

เห็นหัวข่าวปุ๊บ ชื่อคุณฟอร์ดลอยมาก่อนเลยครับ

By: Ford AntiTrust

on 20 August 2013 - 01:16 #613215 Reply to:613213

55555 ผมใช้จริงจังมากครับ ข้อนี้ผมเข้าใจได้เรื่อง memory dump เพราะยังไงก็โดน แต่มันมี option ในการ auto logout เพื่อ purge data ออกจาก memory ให้ครับ

By: nottoscale

on 20 August 2013 - 02:14 #613228

แสดงว่าแชมป์ยังเป็นของโครม ยังหาคนล้มไม่ได้อิอิ

By: cornario

on 20 August 2013 - 09:58 #613316

ตอนผมใช้ (ตอนนี้ก็ยังใช้) ก็คิดว่ามันจะเป็นแบบนี้นะ แต่เข้าไปดูใน forum (รึ faqs ซักอย่าง) เค้าก็บอกว่ามันไม่ใช่ มันปลอดภัยนะ บลาๆ ก็เลยต้องเชื่อเค้าไป (ฮา) จนมีคนมาทดสอบให้เห็นจะๆ นี่แหละ lol

By: pruet

on 20 August 2013 - 10:25 #613328

browser ตัวไหน ถ้าให้มันจำรหัสผ่าน (แบบพิมพ์ login เข้าไป แล้วมันขึ้นมาเป็น *****) แล้วยอมให้คนไปนั่งอยู่หน้าเครื่อง ก็จบเหมือนกัน ไม่ต้อง chrome

เปิด developer tool ขึ้นมา ก็เห็นรหัสผ่านแล้ว

ดังนั้น อย่าให้ browser จำรหัสผ่าน หรือว่าอย่าให้คนอื่นอยู่หน้าเครื่อง

Main menu