使用密码管理器提供的web应用程序的危险

Question

密码管理器位管理员要求用户登录到其网站上的帐户，以允许用户启用2FA、导入密码和管理其他帐户相关细节，因为桌面或移动应用程序上无法使用该功能。被认为已经控制了自托管实例的攻击者能将恶意JavaScript代码注入网页前端以窃取用户的密码吗？当用户使用web库时，攻击者窃取密码数据库密钥的选项有哪些？是否可以通过使用不从服务器提取逻辑的应用程序来避免这种攻击？

Answer 1

如果有人能够访问一个自我托管的实例，那当然是可能的。但是，如果攻击者能够获得用户的密码，则需要将其发送到远程服务器或登录回实例以获取数据。

对于一个自我托管的实例，我更关心的是如何在服务器和客户端之间传输数据。是否安装了带有强加密参数的有效SSL证书？使用自签名文件并不安全，而且比恶意Javascaript文件的风险更大，因为检测网络嗅探器比攻击服务器要困难得多。您还可能受到中间人攻击，攻击者将您转发到他们控制下的服务器，在那里他们可以拦截网络流量并解密数据。

https://www.computerworld.com/article/2569788/sniffing-out-network-sniffers.html

https://www.thesslstore.com/blog/risks-of-using-self-signed-certificates/

自签署SSL证书的风险是什么？

https://www.rapid7.com/fundamentals/man-in-the-middle-attacks/

不管是哪种方式，一旦攻击者能够访问这样的系统，他们就可以以多种不同的方式访问密码。防止未经授权访问自托管密码管理器(如您所描述的那样)的最佳方法是限制谁有权访问服务器。

• 它不应该在互联网上公开访问
• 应该安装防火墙，它阻塞除需要打开的端口之外的所有端口。
• 网络防火墙规则还应阻塞除所需端口之外的所有端口，并授予对需要访问的计算机的访问权限。
• Bitwarden管理界面需要Javascript吗？您可以安装一个名为"No Script“的扩展名，它阻止javascript文件在某些网站上加载。

LastPass有一个设置，您必须在每次查看密码管理器中的密码之前，在需要输入密码的地方启用该设置。

https://bitwarden.com/help/article/security-faqs/