Windows 10 包裹的第三方密碼管理工具有巨大的安全漏洞

https://chinese.engadget.com/2017/12/18/windows-10-bundled-password-manager-had-security-flaw/

無論對自家的程序碼多麼小心控管，當包裹的第三方插件出包時，還是會為最終產品帶來風險的。微軟最近就面臨了這個問題，被 Google 的研究專家 Tavis Ormandy 在 Windows 10 的映像檔當中包含的 Keeper 網頁密碼管理插件裡，發現了一個大漏洞，讓惡意網站可以盜取你存下來的密碼。雖然 Ormandy 的映像檔是開發者用的 MSDN 版本，但有 Reddit 的使用者回報在一般市售的安裝版中，也有同樣受影響的 Keeper 版本。

一名微軟發言人向 Ars Technica 表示 Keeper 的團隊已將漏洞補好（Ormandy 先私底下接洽了開發團隊，確定 Keeper 已經漏洞補好才公開發現的），只要 Windows 有更新的話應該是安全無虞。自然，沒有使用 Keeper 插件的人也不會有任何的危險。

不過就算是第三方插件供應者出包，對一般使用者恐怕不會做出這樣的區別，最終來說會被要求負責的還是將它包進來的微軟吧？要如何加強對包裝進來的第三方軟體的控管，恐怕也是微軟要面臨的重要課題了。

Password管理軟體我都自己開發，完全不會藉由第三方系統去管理Passwords.
懂資安的人都只到Password管理軟體背後都是將你的Password用特定的加密演算法加密之後存放，被加密之後的那一串「密碼」終究有被破解的一天