KeePass出现漏洞：可在提权后通过内存转储获取主密码

KeePass出现漏洞：可在提权后通过内存转储获取主密码KeePassXC不受影响在KeePass2.x2.54之前的版本中，即使工作区被锁定或不再运行，也可以从内存转储中恢复明文主密码。内存转储可以是整个系统的KeePass进程转储、交换文件（pagefile.sys）、休眠文件（hiberfil.sys）或RAM转储。第一个字符无法恢复。在2.54中，有不同的API用法和/或随机字符串插入以缓解。严重性：未测评影响平台：未知https://nvd.nist.gov/vuln/detail/CVE-2023-32784#漏洞via

密码管理工具 LastPass 强制要求主密码至少 12 个字符

密码管理工具LastPass强制要求主密码至少12个字符密码管理工具LastPass近日发布公告表示，自2023年4月起，所有LastPass新用户以及采取措施重置主密码的现有用户，都必须创建或更新主密码，使其至少包含12个字符。但从2024年1月开始，LastPass将强制要求所有用户使用至少12个字符的主密码。对于那些尚未遵守新政策的用户将被提示创建一个包含12个或更多字符的新主密码。——

LastPass 要求用户将主密码更新为至少 12 个字符

LastPass要求用户将主密码更新为至少12个字符密码管理工具LastPass将强制所有用户将主密码更改为至少12个字符，这可能是为了应对2022年该公司遭受的黑客攻击。周四，LastPass向用户发送了一封有关新要求的电子邮件。“所有主密码必须至少满足12个字符的要求。如果你的主密码少于12个字符，你将需要更新它，”该消息说道。该电子邮件补充道，LastPass“致力于满足最新的行业安全标准和最佳实践”，因此提出了这项新要求。LastPass的一位发言人补充说：“这并不是针对新威胁或事件的回应。”——

密码管理软件KeePass出恶性漏洞

密码管理软件KeePass出恶性漏洞近日，开源密码管理软件KeePass就被爆出存在恶性安全漏洞，攻击者能够在用户不知情的情况下，直接以纯文本形式导出用户的整个密码数据库。据悉，KeePass采用本地数据库的方式保存用户密码，并允许用户通过主密码对数据库加密，避免泄露。但刚刚被发现的CVE-2023-24055漏洞，能够在攻击者获取写入权限之后，直接修改KeePassXML文件并注入触发器，从而将数据库的所有用户名和密码以明文方式全部导出。这整个过程全部在系统后台完成，不需要进行前期交互，不需要受害者输入密码，甚至不会对受害者进行任何通知提醒。目前，KeePass官方表示，这一漏洞不是其能够解决的，有能力修改写入权限的黑客完全可以进行更强大的攻击。

密码管理器可以有效地防止键盘记录器、网络钓鱼和数据库泄露；

密码管理器可以有效地防止键盘记录器、网络钓鱼和数据库泄露；但是，密码管理器依靠操作系统的剪贴板将凭证从密码库安全地转移到Web浏览器。然而就是在这几秒钟内，攻击者就可以抓取剪贴板内容，导出密码。介绍这件事怎么做，以及如何防御：《如何以纯文本格式转储密码管理器中的密码》https://www.iyouport.org/%e5%a6%82%e4%bd%95%e4%bb%a5%e7%ba%af%e6%96%87%e6%9c%ac%e6%a0%bc%e5%bc%8f%e8%bd%ac%e5%82%a8%e5%af%86%e7%a0%81%e7%ae%a1%e7%90%86%e5%99%a8%e4%b8%ad%e7%9a%84%e5%af%86%e7%a0%81/

密码管理工具 LastPass 通知老用户：主密码强制要求至少 12 位

密码管理工具LastPass通知老用户：主密码强制要求至少12位密码管理工具LastPass近日发布公告，宣布强制要求主密码至少12位。对于使用少于12个字符主密码的用户，LastPass已经通过邮件的方式发送通知，要求尽快更新。LastPass表示使用过短的主密码，存在被破解的风险。例如使用包含数字、大小写和符号的6位密码，几乎可以在几秒内完成破解，而破解12位则需要数年时间。来源，频道：@kejiqu群组：@kejiquchat