六大密码管理器全军覆没 | 深圳市密码技术应用员
近日,独立安全研究人员Marek Tóth DEF CON33黑客大会上披露了一个密码管理器普遍存在的严重漏洞。网络安全公司Socket的研究人员随后验证确认了该漏洞,并帮助通知了受影响的密码管理器供应商。
据Bleepingcomputer报道,研究人员开发了一种“点击劫持攻击”,对目前最热门的六大密码管理器1Password、Bitwarden、Enpass、iCloud Passwords、LastPass和LogMeOnce的某些版本进行测试,发现所有基于浏览器的密码管理器变体在某些情况下都可能泄露包括账号密码银行卡的敏感信息。
漏洞利用方法
主要攻击机制是在恶意或受感染的网站上运行脚本,该网站使用不透明度设置、覆盖或指针事件技巧来隐藏基于浏览器的密码管理器的自动填充下拉菜单。
然后,攻击者会覆盖虚假的攻击元素(例如cookie横幅、弹出窗口或 CAPTCHA),以便用户的点击落在隐藏的密码管理器控件上,诱使用户输入敏感信息。
Tóth演示了多种基于DOM的子类型,这些子类型构成了同一缺陷的利用变体,包括直接DOM元素不透明度操作、根元素不透明度操作、父元素不透明度操作以及部分或全部覆盖。
研究人员还演示了使用一种方法的可能性,其中UI跟随鼠标光标,因此任何用户点击,无论其位于何处,都会触发数据自动填充。
面对点击劫持攻击,主流密码管理器全军覆没,Dashlane的表现最好来源:MarekTóth
Tóth表示,可以使用通用攻击脚本来识别目标浏览器上活动的密码管理器,然后实时调整攻击。
研究人员测试了11个受欢迎程度较高的密码管理器,发现它们都至少容易受到一种攻击方法的攻击:
在Socket的协助下,所有密码管理器厂商于2025年4月收到了有关该问题的通知。
密码管理器厂商对该漏洞的响应不一,1Password否认了该报告(的严重性),将其归类为“超出范围/信息量”,并认为点击劫持是用户应该减轻的一般性安全风险。
同样,LastPass将报告标记为“信息性”,而 Bitwarden承认存在问题,但淡化了其严重性。不过,Bitwarden告诉BleepingComputer,这些问题已在本周推出的2025.8.0版本中得到修复。
目前尚不清楚LastPass和1Password是否计划解决该问题。
LogMeOnce则完全没有响应。
以下是容易收到攻击的密码管理器版本(共有约4000万用户):
- 1Password8.11.4.27
- Bitwarden2025.7.0
- Enpass6.11.6(6.11.4.2中实施部分修复)
- iCloud密码3.1.25
- LastPass4.146.3
- LogMeOnce7.12.4
目前已经修复漏洞的供应商包(上图)括Dashlane(8月1日发布 v6.2531.1)、NordPass、ProtonPass、RoboForm和Keeper(7月发布 v17.2.0)。这些产品的用户应立即更新确保运行最新版本。
对于尚未修复漏洞的密码管理器产品,Tóth建议用户禁用密码管理器中的自动填充功能,仅使用复制/粘贴。
因为市面上缺少既能分析密码,又能懂测评要求的专业密码人才,致使密码应用单位对密码应用安全建设工作了解不足,密码应用安全建设工作几乎完全依赖于密码应用安全建设服务提供商,密码应用安全建设服务提供商的工作量进一步加重。
自我国加速推进密码技术自主化进程,政策法规体系持续完善凸显战略升级。2019年《密码法》正式施行,首次以立法形式确立商用密码在关键信息基础设施中的法定地位,配合等保2.0标准将密评纳入三级以上系统建设刚性要求,驱动金融、政务等领域完成超75%国密算法替代。政策红利的释放催生密码产业爆发式增长,头部密码服务商对”网络安全+密码技术”复合型人才需求激增,既懂密码协议研发、又能实施密评改造的实战型人才呈现“一将难求”态势。
承制科技一直深耕与网络安全行业,培训服务始终是我们的核心板块之一。鉴于网络安全领域的快速发展与变化,我们紧密追踪行业动态,特别注意到密码技术应用员(四/三级)证书近期备受瞩目。为此,承制科技强烈推荐在密码安全领域的网络安全从业者积极关注并考取此证书。
近期,承制科技与深圳密码测评行业合作伙伴已达成深度合作,学员通过密码技术应用员认证后,可直接纳入合作单位安全人才储备库,同时可以获得深圳人力资源和社会保障局补贴。该合作模式聚焦网络安全人才技能升级需求,通过密码技术赋能助力从业者掌握数据加密、密评实施等实战能力,同时为职业转型与就业机会匹配提供双向通道。
密码方向
密码技术应用员(四/三级)
“密码技术应用员”是人社部和国家密码管理局联合发布的新职业工种,该职业为运用密码技术,从事信息系统安全密码保障的架构设计、检测评估、运维管理、密码咨询等相关密码服务的人员。通过系统的理论学习与实践操作,全面掌握密码技术应用员的核心知识与技能,熟悉密码应用相关法律法规、标准规范,具备密码应用方案设计、密码系统部署与运维等专业能力,能够在实际工作中有效保障信息系统的密码安全,助力提升密码技术应用的整体水平和安全保障能力。
9月场次培训将于9月24日开始,考试时间为9月30日,报名截止时间为9月10日。现在报名可享受专属优惠。
报考条件(四级)
- 累计从事本职业或相关职业工作满5年(社保缴纳累计满60个月)
- 取得本职业或相关职业五级/初级工职业资格(职业技能等级)证书后,累计从事本职业或相关职业工作满3年(社保缴纳累计36个月)
- 取得本专业或相关专业的技工院校或中等及以上职业院校专科及以上普通高等学校毕业证书(含在读应届毕业生)
报考条件(三级)
- 累计从事本职业或相关职业工作满10年(社保缴纳累计满120个月)
- 取得本职业或相关职业四级/中级工职业资格(职业技能等级)证书后,累计从事本职业或相关职业工作满4年(社保缴纳累计48个月)
- 取得符合专业对应关系的初级职称(专业技术人员职业资格)后,累计从事本职业或相关职业工作满1年(社保缴纳累计12个月)
- 取得本专业或相关专业的技工院校高级工班及以上毕业证书(含在读应届毕业生)
- 取得本职业或相关职业四级/中级工职业资格(职业技能等级)证书,并取得高等职业学校、专科及以上普通高等学校本专业或相关专业毕业证书(含在读应届毕业生)
- 取得经评估论证的高等职业学校、专科及以上普通高等学校本专业或相关专业的毕业证书(含在读应届毕业生)
培训优势
- 理论培训与工作实践相结合,辅导平台与业务应用相结合的教育培训模式,受到培训学员的普遍认可
- 较早开展密码技术应⽤员四级培训考试工作的机构之一
- 多年信息安全培训服务经验,已培训人数达上千人
补贴政策
获得认证证书后可通过深圳市人力资源和社会保障局申请1500-2000元补贴。
课程内容
从密码技术应用员实际需要掌握的密码基础知识、应⽤案例、应用产品、密评、法律法规等给培训需求提供重要知识点的介绍,⼒求使学员通过学习快速掌握相关知识点,重要考试内容,按照《密码技术应用员国家职业技能标准》要求,设计了“理论基础”、“运行实操”两⼤模块课程。
| 日期 | 培训内容 |
| 9月24日 | 国家密码管理政策法规解读 |
| 密码行业标准规范 | |
| 密码应用需求分析 | |
| 密码应用方案设计 | |
| 9月25日 | 密码基础知识 |
| 密码协议、密码功能及应用 | |
| 实施保障方案设计 | |
| 产品部署、密码应用联调测试、系统交付 | |
| 9月26日 | 密码应用方案审查 |
| 密码应用测评准备 | |
| 现场测评及总结 | |
| 密码资产管理 | |
| 系统运维 | |
| 应急处置 | |
| 9月27日 | 密码工具与实训平台演练 |
| 工具与平台练习 | |
| 9月28日 | 密码工具与实训平台演练 |
| 工具与平台练习 | |
| 9月30日 | 考试 |
培训安排
- 培训时间
2025年9月24日、25日、26日、27日、28日
- 考试时间
2025年9月30日
- 培训地点
深圳市福田区华强北街道赛格科技园4栋西7楼A座
培训费用
- 四级:6800元/人/期(含培训费、考试费等)
- 三级:8800元/人/期(含培训费、考试费等)
证书样例
查询方式
- 人力资源和社会保障部http://jndj.osta.org.cn/
