攻击密码管理器

Question

哪些威胁模型和目前已知的针对在线和/或脱机密码管理器的攻击不基于CSRF、XSS或自动填充行为？

我发现了来自usenix.org 这里和这里的两种出版物，它们详细解释了上述情况。

我希望得到答案，这些答案是基于目前对常用密码管理器的研究(不管操作系统如何)。威胁模型或攻击可能使用CSRF、XSS或autofill，但不应作为主要攻击载体，也不应使用与链接文件完全不同的方法。

我愿意接受所有的建议，包括自我推销研究.这个问题并不是为了让你搜索出版物，而是为了寻找答案，以防你已经知道了这样的攻击，并且想要分享这些信息。

Answer 1

2015年在欧洲市场( 介绍性 BlackHat )举办了一场关于Lastpass的弱点的活动。