最新研究显示，一些商业密码管理器可能容易受到假冒应用程序的网络攻击。

安全专家建议为每个在线账户使用一个复杂、随机和唯一的密码，但记住所有密码将是一项具有挑战性的任务。这就是密码管理器派上用场的地方。

通过单一主密码或个人识别码进入的加密金库，它们为用户存储和自动填充凭证，并得到英国国家网络安全中心(National Cyber Security Centre)的高度推荐。

然而，约克大学(University of York)的研究人员发现，一些商业密码管理器可能不是确保网络安全的无懈可击的方式。

在创建了一个恶意应用程序来冒充一个合法的谷歌应用程序后，他们能够骗过他们测试的5个密码管理器中的2个，从而泄露了一个密码。

研究团队发现，一些密码管理器在识别应用程序、推荐自动填写用户名和密码时使用了不严格的标准。这一弱点使得研究人员可以通过创建一个同名的流氓应用程序来冒充一个合法的应用程序。

该研究的资深作者、约克大学计算机科学系的Siamak Shahandashti博士说:“密码管理器中的漏洞为黑客提供了获取凭证、泄露商业信息或侵犯员工信息的机会。”由于密码管理器是大量敏感信息的守门人，因此对密码管理器进行严格的安全分析至关重要。

“我们的研究表明，恶意应用程序发起的钓鱼攻击是非常可行的——如果受害者被骗安装了恶意应用程序，它将能够在自动填充提示上显示自己是一个合法的选项，并有很高的成功几率。”

“鉴于我们的研究暴露出的一些商业密码管理器的漏洞，我们建议他们需要应用更严格的匹配标准，而不仅仅是基于应用程序所声称的包名。”

研究人员还发现，一些密码管理器对输入主密码或密码的次数没有限制。这意味着，如果黑客能够访问个人设备，他们可以发动“蛮力”攻击，在大约2.5小时内猜出一个四位数的密码。

除了这些新的漏洞外，研究人员还列出了在之前的一项研究中发现的一系列先前披露的漏洞，并测试这些漏洞是否已经解决。他们发现，虽然这些问题中最严重的问题已经得到解决，但还有许多问题没有得到解决。

研究人员向密码管理器披露了这些漏洞。

该研究的主要作者迈克尔·卡尔(Michael Carr)在约克大学(University of York)计算机科学系攻读网络安全硕士学位期间进行了这项研究，他说:“通过大量测试发现了新的漏洞，并负责任地向供应商披露了这些漏洞。”其中一些被立即修复，而另一些则被视为低优先级。

“需要更多的研究来为密码管理器开发严格的安全模型，但我们仍然建议个人和公司使用它们，因为它们仍然是更安全、更有用的选择。”虽然这不是不可能的，但黑客必须发起相当复杂的攻击才能访问他们存储的信息。”

在2020年9月举行的第35届国际信息通信技术系统安全和隐私保护会议(IFIP SEC 2020)上，将对商业密码管理器的安全漏洞进行重新审视。