很多安全从业人员推荐用户采用密码管理器,因为它们使用户可以轻松地存储数百个甚至数千个帐户所特有的冗长而复杂的密码。在不使用密码管理器的情况下,许多用户都将使用弱密码,这些密码会被多个帐户重复使用。
Passwordstate漏洞凸显了密码管理器带来的风险,因为它们代表一个单点故障,可能导致大量在线资产受损。如果启用了双重身份验证,则其风险将会显著降低,因为仅提取的密码不足以获得未经授权的访问。Click Studios表示,Passwordstate提供了多个双重身份验证选项。
由于Passwordstate主要出售给使用管理器存储防火墙、虚拟网络和其他企业应用程序密码的企业客户,因此这一违规行为尤其令人担忧。Click Studios公司指出,Passwordstate受到全球29,000多家企业以及370,000名安全和IT专业人员的信任,其用户范围从规模最大的企业(包括许多财富500强公司)到最小的IT商店。
又一次的供应链攻击
Passwordstate的数据泄露是最近几个月曝光的一次备受瞩目的供应链攻击事件。去年12月, SolarWinds网络管理软件的一个恶意更新在18,000个企业用户的网络上安装了后门程序。在本月初,一个名为Codecov Bash Uploader的更新开发工具从受感染的机器中提取了秘密身份验证令牌和其他敏感数据,并将它们发送到黑客控制的远程站点。
Click Studios公司最后在邮件中呼吁,使用Passwordstate的任何人都应立即重置所有存储的密码,尤其是防火墙、虚拟网络、交换机、本地帐户和服务器的密码。