知道LastPass钓鱼应用吗？保护的方法？

Question

我是一个LastPass用户，我与浏览器扩展一起使用。

最近，我突然意识到，创建一个钓鱼浏览器扩展应该不难

1. 将在安装时取代LastPass，
2. 看上去就像最后一次，
3. 在提交密码之前，表现得像LastPass一样，并且
4. 简单地发送您的登录信息到一些电子邮件地址提交。

我的问题是：

1. 这是已知的黑客攻击吗？
2. 如果不是，为什么它不能工作/很容易实现(除了让用户安装扩展，这可以使用传统的捕鱼技术)？
3. 如果是的话，有没有办法保护自己免受这种威胁呢？LastPass在这个问题上有什么建议吗？

我的问题特别是关于LastPass的，但我想任何密钥链软件都会出现同样的问题，我很高兴听到这些(例如，4.如果存在威胁，是否有任何密钥链软件提供比LastPass更好的保护？)

Answer 1

首先，安装扩展不是无害的操作。常用用法是：

一旦您在计算机上安装了不需要的软件，它就不再是您的计算机了。

但是，攻击应该比您所描述的稍微复杂一些(毕竟，Lastpass是一个众所周知的安全解决方案)。您在密码扩展中键入的主密码仅是用于本地解密存储在Lastpass服务器上的金库内容的密钥文件的密码。

所以假的分机应该是：

• 要么在浏览器和真正的扩展之间安装自己？？不是那么容易。
• 要么完全再现真正扩展的所有解码操作--确实可能，但仍然有相当数量的单词--意思是。
  • 使用主密码定位并解锁密钥文件。
  • 下载保险库
  • 破译金库

这样的扩展将是对拉斯特帕斯的一次重大攻击，因此很有可能很快被识别和解除行动。

以下只是我个人的看法：

这仍然是一个应该考虑的严重威胁，主要是在目标攻击的情况下，这意味着攻击者只能在少数机器上才能激活他的软件，以限制很快被识别的风险。这假设攻击者是一个强大的组织，而您作为目标代表一个很高的值，因为在任何其他情况下，增益/成本比都很低，而且整个操作都不值得。

无论如何，这里的规则是，只要本地计算机是安全的，Lastpass可以允许您安全地使用来自本地计算机的密码。如果本地机器被破坏了--浏览器中有一个不需要的扩展名--任何事情都可能发生(键盘记录器、盗窃或文件抑制等等)。