keepass 被爆出安全漏洞，可泄露主密码

电脑不中毒，不在网吧等公用设备上使用一般没事。

.直接 dump 内存了.该关心的不是这些密码了.

都能检索内存，机器已经变成肉鸡

人家都在你家里砸墙了，你问我这个门安不安全

好吧，老子自己写一个，不过还是要经剪贴板……🐶

不过好奇为什么要存主密码？不是打开库时校验就够了么？

锁定后从内存中清除密码是密码管理器的必备功能

内存泄漏发声在 Keepass 2.x
可以用 keepass 1.x ，缺点是只能保存一个附件
或者可以用 Linux 下的 keepassX 、keepassXC

这个属于是编程上的失误

The flaw exploited here is that for every character typed, a leftover string is created in memory. Because of how .NET works, it is nearly impossible to get rid of it once it gets created. For example, when "Password" is typed, it will result in these leftover strings: •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d. The POC application searches the dump for these patterns and offers a likely password character for each position in the password.

https://github.com/vdohney/keepass-password-dumper#how-it-works

用 keepassxc 吧

虽然没有在内存中存储密码，但是输入密码的时候会显示最后一位输入的字符，然后这个字符存在内存中，，比如输入 Pasword 就会有这几个字符串 •a, ••s, •••s, ••••w, •••••o, ••••••r, •••••••d ，然后就可以获得密码（不能获得第一位，暴力搜索就行）。

如果你是通过复制主密码到输入框就不会被泄露。

我用的 bitwarden 不知道有没有问题

传统桌面操作系统一般来说是不防本机运行的恶意软件的，比如 Windows 在有管理员权限的情况下就能从系统进程中读取已登录用户的密码。
没记错的话 KeePass 官网似乎说过，虽然 KeePass 尽量保证内存中的数据是加密的，但是没法防止恶意软件直接伪造 KeePass 界面骗你输入。

我一直是密码+文件登录，能防这个漏洞吗

我锁丢了！

如果黑客都能在你电脑里读取进程内存了，那他直接监听你的按键记录不是更简单省事。