1. 緒論

儘管存在眾所周知的安全性挑戰,基於密碼的身份驗證仍是網路驗證的主要形式。使用者在建立和記憶強度足夠且獨特的密碼時面臨認知負擔,導致密碼重複使用和建立弱憑證。密碼管理工具透過生成、儲存和自動填入密碼,提供了一個潛在的解決方案。然而,其安全性已受到先前研究的質疑。本文針對十三款熱門的瀏覽器密碼管理工具,提出一份更新且全面的安全性評估,涵蓋完整的生命週期:生成、儲存與自動填入。

2. 研究方法與範圍

本研究評估了十三款密碼管理工具,包括五款瀏覽器擴充功能(例如 LastPass、1Password)、六款內建瀏覽器管理工具(例如 Chrome、Firefox)以及兩款桌面客戶端以供比較。評估框架複製並擴展了 Li 等人(2014)、Silver 等人(2014)以及 Stock & Johns(2015)的先前研究。分析圍繞密碼管理工具生命週期的三個核心階段進行結構化。

3. 密碼生成分析

本節評估所研究管理工具生成密碼的隨機性和強度,分析了包含 1.47 億個生成密碼的語料庫。

3.1. 字元分佈分析

分析顯示,在生成的密碼中發現了數個非隨機字元分佈的實例。部分管理工具在字元選擇上表現出偏差,降低了密碼的有效熵值。

3.2. 熵值與隨機性測試

應用了包括 NIST SP 800-22 隨機性測試在內的統計測試。雖然大多數長密碼是穩健的,但來自某些管理工具的較短密碼(低於 18 個字元)顯示出偏離真正隨機性的模式。

3.3. 猜測攻擊之脆弱性

最嚴重的發現是,一小部分較短的生成密碼(低於 10 個字元)容易受到線上猜測攻擊,而低於 18 個字元的密碼可能容易受到複雜的離線攻擊,這與「強」生成的假設相矛盾。

4. 密碼儲存安全性

本節檢視密碼如何在本地和/或雲端進行加密與儲存。

4.1. 加密與金鑰管理

雖然自先前研究以來,核心密碼加密已有所改進,但金鑰管理實踐存在顯著差異。部分管理工具僅依賴主密碼,並使用較弱的金鑰衍生函數。

4.2. 元資料保護

發現的一個關鍵缺陷是,數款管理工具儲存了未加密的元資料(例如網站網址、使用者名稱)。此元資料外洩可能顯著助長針對性攻擊並損害使用者隱私。

4.3. 預設配置分析

研究發現,數款密碼管理工具出廠時帶有不安全的預設設定,例如預設在所有網站啟用自動填入,或使用較弱的生成設定,將安全性負擔置於使用者身上。

5. 自動填入機制漏洞

為提升易用性而設計的自動填入功能,引入了顯著的攻擊面。

5.1. 點擊劫持與介面偽裝

發現多款管理工具容易受到點擊劫持攻擊,惡意網站會在合法使用者介面上疊加隱藏元素,誘騙使用者在錯誤的網域觸發自動填入。

5.2. 跨網站指令碼攻擊風險

將憑證注入 DOM 欄位的自動填入機制,可能透過其他受信任網站上的 XSS 漏洞被利用,導致憑證被竊取。

5.3. 網路注入攻擊

執行網路請求以獲取或同步憑證的管理工具,若未嚴格執行 TLS 或更新機制遭到入侵,則可能容易受到中間人攻擊。

6. 結果與比較分析

評估顯示,雖然過去五年安全性有所提升,但整個生態系統中仍存在顯著的漏洞。沒有任何一款管理工具在所有三個類別(生成、儲存、自動填入)中完美無缺。內建瀏覽器管理工具通常具有較簡單的自動填入邏輯,但生成和儲存功能較弱。專用擴充功能提供更多功能,但也引入了更複雜的攻擊面。本文指出了表現出最嚴重綜合缺陷、應謹慎使用的特定管理工具。

關鍵洞察

  • 生成並非保證安全:密碼生成演算法可能存在缺陷,產生的密碼熵值低於宣傳值。
  • 元資料是新的攻擊途徑:未加密儲存網址和使用者名稱是常見且嚴重的隱私/安全性失誤。
  • 易用性與安全性的權衡極為尖銳:自動填入作為關鍵的易用性功能,卻是大多數關鍵漏洞(點擊劫持、XSS)的來源。
  • 不安全的預設設定普遍存在:許多使用者以次佳的安全性設定運作,因為預設配置優先考慮便利性。

7. 建議與未來方向

本文以可操作的建議作結:

  • 對開發者:加密所有元資料;使用安全、經過稽核的亂數產生器;實施穩健的反點擊劫持措施(例如框架破壞、要求使用者手勢);採用安全的預設設定。
  • 對使用者:選擇具有良好紀錄的管理工具;啟用所有可用的安全性功能(雙重驗證、自動登出);使用長度足夠、由機器生成的密碼;謹慎使用自動填入功能。
  • 對研究者:探索自動填入邏輯的形式化驗證;開發能將憑證儲存與脆弱的瀏覽器環境解耦的新架構;為密碼管理工具制定標準化的安全性評估基準。

8. 原創分析與專家評論

核心洞察:Oesch 與 Ruoti 的研究提供了一個發人深省的現實檢驗:密碼管理工具產業五年的「安全性成熟」週期帶來了漸進式的改進,而非變革性的進步。未加密元資料和點擊劫持漏洞等基本缺陷的持續存在,表明市場優先考慮功能開發速度和用戶獲取,而非架構安全性。這讓人想起網路加密的早期,SSL 經常被部分或不正確地實施。本文最具批判性的發現並非特定錯誤,而是其模式:安全性始終是附加在以易用性為中心的設計之上,而非作為基礎。

邏輯脈絡:作者的三分法框架(生成、儲存、自動填入)巧妙地揭示了層疊風險模型。生成階段的失敗會削弱整個憑證池。儲存階段的失敗會暴露保管庫。但自動填入機制——這個定義密碼管理工具價值主張的功能——卻成為攻擊的倍增器,正如先前關於 XSS 和網路注入的研究所見。這產生了一種反常的激勵:自動填入功能越無縫、「神奇」,其攻擊面就越廣。本研究在多年後複製了過去的自動填入漏洞,表明產業仍在努力解決這個核心矛盾。

優勢與缺陷:本研究的優勢在於其全面性和方法論的嚴謹性,分析了 1.47 億個密碼——這個規模提供了統計學上的信心。它正確地避免了宣布「贏家」,而是描繪了一個充滿權衡的細緻圖景。然而,其缺陷在於範圍:它主要評估技術性漏洞。它僅輕微觸及了同樣關鍵的網路釣魚(管理工具是否會被誘騙填入偽造的登入頁面?)和端點入侵(當主機作業系統被控制時會發生什麼?)威脅,這些領域在如SANS Institute等機構的研究以及對現實世界憑證竊取活動的分析中已被強調。一個全面的威脅模型必須包含這些向量。

可操作的洞察:對於企業安全團隊而言,本文是一項指令,要求他們超越行銷宣傳,仔細審查核准的密碼管理工具。要求針對三個生命週期階段進行第三方稽核。對於開發者而言,前進的道路可能在於徹底的簡化與隔離。受安全系統設計原則的啟發,例如Minix 3 的微核心架構CycleGAN中領域隔離的技術,未來的密碼管理工具可以將憑證保管庫隔離在一個獨立、權限最小的處理程序或硬體模組中,而自動填入元件則作為嚴格控制的查詢介面。產業必須超越修補個別錯誤,並為敵對環境重新設計架構。密碼管理工具「足夠好」的安全時代已經結束。

9. 技術細節與數學框架

密碼生成隨機性的評估依賴於測量夏農熵並應用統計測試。一個長度為 $L$、由大小為 $N$ 的字元集 $C$ 組成的生成密碼字串 $S$ 的熵 $H$,理想情況下為:

$H(S) = L \cdot \log_2(N)$

例如,一個使用大寫字母、小寫字母、數字和 10 個符號($N = 72$)的 12 字元密碼,其理論最大熵為 $H_{max} = 12 \cdot \log_2(72) \approx 12 \cdot 6.17 = 74$ 位元。

研究發現了一些實例,其中有效熵 $H_{eff}$ 由於非均勻的字元分佈或可預測的模式而較低,使得密碼容易受到搜尋空間減少的猜測攻擊。在具有 $G$ 次猜測的離線攻擊中,成功猜測的機率為:

$P(guess) \approx \frac{G}{2^{H_{eff}}}$

這個公式突顯了為何有效熵從 74 位元降低到 60 位元,會使離線攻擊的可行性增加數十億倍。

10. 實驗結果與資料視覺化

圖表說明(圖 3 - 概念性):一個長條圖,比較十三款密碼管理工具(匿名為 PM-A 至 PM-M)在三個標準化風險分數上的表現:生成缺陷分數(基於熵值偏差和短密碼弱點)、儲存風險分數(基於資料與元資料加密、金鑰強度)以及自動填入脆弱性分數(基於對點擊劫持、XSS 的易感性)。圖表將顯示,雖然部分管理工具(例如 PM-C、PM-F)在儲存方面得分良好,但它們的自動填入脆弱性很高。其他工具(例如 PM-B)生成強度佳但儲存預設設定差。沒有任何管理工具在所有三個類別中得分都低,這在視覺上強化了權衡的格局。

資料點:對 1.47 億密碼語料庫的分析發現,大約 0.1% 的低於 10 個字元的生成密碼,其有效熵低於 30 位元,使其處於有決心的線上猜測攻擊範圍內。

11. 分析框架與個案研究

框架應用:自動填入決策樹

為了理解自動填入漏洞,我們可以將管理工具的邏輯建模為決策樹。一個簡化的、不安全的邏輯流程可能是:

  1. 觸發:使用者聚焦於密碼欄位 OR 點擊標示為「填入密碼」的按鈕。
  2. 網域匹配:當前分頁的網址網域(例如 evil.com)是否與儲存的憑證網域(例如 bank.com)匹配?若為是,則繼續。(漏洞:容易使用 iframe 或相似網域進行欺騙)。
  3. 使用者確認:管理工具是否需要明確的使用者批准(例如點擊保管庫彈出視窗)?若為否,則自動填入。(漏洞:點擊劫持可以模擬此點擊)。
  4. 欄位注入:將使用者名稱/密碼注入到識別出的 HTML 欄位中。(漏洞:XSS 可以攔截或修改此注入)。

個案研究 - 點擊劫持攻擊:攻擊者建立一個網站 evil.com,其中嵌入一個指向 bank.com/login 的隱藏 iframe。攻擊者隨後將密碼管理工具使用者介面中的一個透明「填入密碼」按鈕(樣式設定為匹配 evil.com)疊加在隱藏 iframe 的密碼欄位正上方。使用者意圖填入 evil.com 上的偽造欄位,點擊了疊加層,這觸發了管理工具將憑證填入隱藏的 bank.com iframe 中,從而完成竊取。此攻擊利用了步驟 2(複雜頁面環境中的網域匹配)和步驟 3(缺乏穩健的使用者意圖驗證)的失敗。

12. 未來應用與產業展望

密碼管理工具的未來在於超越僅僅是「瀏覽器外掛」,成為整合的、有硬體支援的安全主體。

  • 硬體整合:利用可信平台模組、安全隔離區(Apple Silicon、Intel SGX)或專用安全金鑰,將主金鑰隔離並在受信任的執行環境中執行自動填入決策,遠離可能受損的瀏覽器。
  • 標準化 API:開發瀏覽器標準的、需授權的 API(例如舊版 chrome.autofill API 的後繼者),讓管理工具能夠安全、標準化地存取表單欄位,同時允許瀏覽器在平台層級執行安全性政策(如嚴格的來源檢查)。
  • 無密碼融合:隨著 FIDO2/WebAuthn 通行金鑰標準的普及,密碼管理工具的角色將演變為「憑證管理工具」或「通行金鑰管理工具」。這可能透過依賴公開金鑰加密來簡化安全模型,但也引入了跨裝置同步和恢復私密金鑰的新挑戰。
  • 形式化驗證:應用形式化方法,如同在關鍵系統驗證中所見,以數學方式證明自動填入決策邏輯的正確性及其對介面偽裝等攻擊類別的免疫力。

產業必須將本文的研究結果視為架構變革的催化劑,而不僅僅是待修復錯誤的清單。

13. 參考文獻

  1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
  2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. IEEE S&P.
  3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2014). Password Managers: Attacks and Defenses. USENIX Security Symposium.
  4. Stock, B., & Johns, M. (2015). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. NDSS.
  5. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. NSPW.
  6. Barker, E., & Dang, Q. (2015). NIST Special Publication 800-90B: Recommendation for the Entropy Sources Used for Random Bit Generation. National Institute of Standards and Technology.
  7. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP. https://fidoalliance.org/fido2/
  8. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. ICCV. (CycleGAN)