方便与安全的取舍:多款密码管理器被发现存在自动填充安全隐患可泄露关键信息
早前加密邮件服务提供商 ProtonMail 推出独立的 2FA 验证工具,要知道该提供商本身就已经有 Proton Pass 密码管理器可以实现 2FA 和通行密钥的填充,那为什么还要单独发布 2FA 验证器 Proton Authenticator 呢?答案就是分离 2FA 验证代码可以显著提升安全性。
日前捷克安全研究员人员 Marek Tóth 披露多款知名密码管理器存在的点击劫持漏洞,借助此类漏洞攻击者可以诱导用户访问特定网页然后从密码管理器里窃取关键账号信息甚至 2FA 验证代码。
什么是点击劫持:
攻击者精心设计恶意网页并包含不可见的 iframe 框架,然后将这个恶意网页隐藏到目标网站中,当用户点击目标网站上的内容时,用户的点击操作会被 iframe 框架拦截并执行其他操作 (这种攻击方式已经非常古老)。
例如网页弹出是否接受 Cookie 的提示,当用户点击允许或拒绝按钮时都可能会被 iframe 框架劫持,而 iframe 框架可能包含登录表单,登录表单又会触发密码管理器的浏览器扩展程序自动填充凭证,进而导致攻击者获取用户账户密码。
进行一系列设计后可以通过点击劫持获取密码管理器中保存的各类账号密码、信用卡信息 (包括 CVV2)、2FA 验证码等,因此对用户来说具有较高的威胁性。
部分密码管理器尚未修复漏洞:
大多数主流密码管理器都受到这个安全漏洞的影响,目前安全研究人员已经披露该漏洞的概念验证代码,不过截止本文发布时仍然还有密码管理器没有修复漏洞。
其中 1Password 和 LastPass 将该漏洞标记为信息性漏洞但尚未修复,而 Bitwarden 花费 4 个月时间已经将漏洞修复,其他密码管理器例如 Proton Pass、Roboform、Dashlane 等也已经修复漏洞。
研究人员的建议:
研究人员建议使用密码管理器扩展程序的用户应当手动禁用自动填充功能以提升安全性,禁用自动填充后用户需要手动点击密码表单并填充。
Bitwarden 建议用户使用其他填充方法,包括键盘快捷键、右键菜单或拖动填充等,本质上都是禁用密码管理器直接在检测到匹配的网站和密码表单时自动填充信息。
本质上就是便利性和安全的取舍:
密码管理器极大地提高了用户登录账号时的便利性,因为不需要手动输入账号密码和 2FA 验证码,但账号密码和 2FA 集成在一起后就会带来如本文所说的点击劫持漏洞。
ProtonMail 单独发布 2FA 验证器就是提高安全性的操作,即用户仍然可以使用自动填充功能,但不携带 2FA 验证码,用户需要手动打开 Proton Authenticator 然后输入 2FA 验证码,这种情况下即便账号密码被窃取后黑客也无法登录账号。
然而手动输入 2FA 验证码会让整个登录流程花费更多时间,同理禁用密码管理器的自动填充也可以提高安全性但也会浪费更多时间,所以如何取舍就看用户怎么考虑了。
PS:如果你使用密码管理器的浏览器扩展程序,记得检查是否有新版本,部分受影响的密码管理器已经更新扩展程序修复漏洞,例如 Bitwarden 已经发布 2025.8.0 版解决漏洞。
via Mark Toth
