ตัวป้องกันรหัสผ่านปลอดภัยหรือไม่? รายชื่อทุกการละเมิดที่สำคัญ

หากคุณใช้เวลาบนอินเทอร์เน็ต (และไม่มีใครในสมัยนี้) คุณอาจมีรหัสผ่านมากมาย.


คุณต้องมีรหัสผ่านทุกครั้งที่คุณลงชื่อเข้าใช้บัญชีโซเชียลมีเดียตรวจสอบยอดเงินในบัญชีธนาคารของคุณหรือสั่งซื้อสินค้าจาก Amazon หากคุณอยู่ในฟอรัมใด ๆ ให้รันเว็บไซต์หรือเพียงแค่เขียนบล็อกแสดงว่าคุณมีรหัสผ่านมากขึ้น.

จำเป็นต้องใช้รหัสผ่านการดึงดูดให้ใช้รหัสผ่านเดียวกันสำหรับแต่ละเว็บไซต์เหล่านี้ ท้ายที่สุดคุณอาจต้องลงชื่อเข้าใช้เว็บไซต์หลายสิบแห่งหากไม่ใช่หลายร้อยแห่งในช่วงปีปกติ หากคุณมีรหัสผ่านที่คาดเดายากและไม่ซ้ำใครสำหรับแต่ละเว็บไซต์เหล่านี้, คุณจะจำพวกมันได้อย่างไร?

น่าเสียดายที่มีคนจำนวนมากใช้วิธีง่าย ๆ พวกเขาใช้รหัสผ่านที่ค่อนข้างชัดเจนว่า“Password123,ตัวอย่างเช่นจากนั้นใช้สำหรับกิจกรรมออนไลน์ทั้งหมดของพวกเขา ทำไมนี่เป็นความคิดที่แย่มาก เพราะ หากแฮกเกอร์จัดการเพื่อรับรหัสผ่านของคุณในบัญชีเดียวก็จะมีรหัสผ่านสำหรับบัญชีทั้งหมดของคุณ.

บางทีคุณอาจไม่ได้เป็นเรื่องใหญ่โดยเฉพาะอย่างยิ่งหากมีบุคคลที่สามานย์สามารถลงชื่อเข้าใช้โปรไฟล์ Facebook ของคุณได้แม้ว่าพวกเขาจะสามารถทำลายล้างได้หากเกิดเหตุการณ์เช่นนี้ อย่างไรก็ตามหากรหัสผ่านนั้นให้พวกเขาสามารถเข้าถึงข้อมูลธนาคารของคุณหมายเลขบัตรเครดิตหมายเลข SocialSecurity หรือสิ่งอื่นใดคุณจะต้องใส่ใจอย่างแน่นอน.

ทำไมรหัสผ่านที่แข็งแกร่งถึงสำคัญมาก

ในช่วงไม่กี่ปีที่ผ่านมาเว็บไซต์จำนวนมากเริ่มตั้งข้อกำหนดสำหรับรหัสผ่านที่ยาวและซับซ้อนมากขึ้น มันเป็นความเจ็บปวดสำหรับผู้ใช้ที่จะเกิดขึ้นและจดจำรหัสผ่านเหล่านี้ แต่มีเหตุผลที่ดีสำหรับการทำเช่นนั้น.

รหัสผ่านที่แข็งแกร่งยิ่งรหัสผ่านของคุณซับซ้อนและสุ่มตัวอย่างมากเท่าไรก็ยิ่งยากที่แฮ็คเกอร์จะมองเห็นได้ยากขึ้นเท่านั้น. ตอนนี้ลองนึกภาพว่าคุณมีรหัสผ่านเหล่านี้หลายสิบรหัสสำหรับแต่ละเว็บไซต์ที่คุณใช้เป็นประจำ แฮ็กเกอร์เหล่านั้นจะไม่ไปไกลเท่าที่พวกเขาจะต้องคิดเลข 12 ตัวหรือตัวเลขและตัวละครพิเศษ ปัญหาจะเพิ่มขึ้นโดยใช้รหัสผ่านที่ไม่ซ้ำกันในทุกบัญชีออนไลน์ของคุณ.

รหัสผ่านประเภทนี้มีความสำคัญต่อความปลอดภัยออนไลน์ของคุณ. เมื่อแฮ็กเกอร์คนหนึ่งรู้รหัสผ่านที่ง่ายเกินไปของคุณพวกเขาสามารถใช้มันเองหรือขายมันเพื่อเป็นเงินก้อนใหญ่ในตลาดมืด ผู้ซื้อเหล่านี้บางส่วนมีความซับซ้อนอย่างเหลือเชื่อ ภายในไม่กี่นาทีข้อมูลประจำตัวของคุณจะถูกขโมยการจัดอันดับเครดิตของคุณจะถูกทิ้งและ คุณจะใช้เวลาเป็นปี ๆ และมีเงินมากมายพยายามทำให้ชื่อเสียงของคุณกลับมา.

จากการทบทวนเทคโนโลยีของ MIT การสร้างรหัสผ่านที่แข็งแกร่งอย่างแท้จริงนั้นเป็นเรื่องที่มากกว่าการใช้อักษรตัวใหญ่หนึ่งตัวตัวเลขหนึ่งตัวและอักขระพิเศษหนึ่งตัว ยิ่งคุณสร้างรหัสผ่านของคุณได้นานเท่าไรและยิ่งมีอักขระพิเศษที่ใช้มากเท่าไหร่โอกาสที่แฮ็คเกอร์ตอ.

แฮกเกอร์มีซอฟต์แวร์ที่ทำงานอย่างต่อเนื่องและไม่รู้จักเหน็ดเหนื่อยเมื่อใช้รหัสผ่าน“ คาดเดา” ไม่ช้าก็เร็วพวกเขาอาจเข้ามาหาคุณ อย่างไรก็ตามหากรหัสผ่านของคุณยาวซับซ้อนและสุ่มโดยสิ้นเชิง โอกาสที่แฮกเกอร์จะไปหาเหยื่อง่ายกว่ามาก, ซึ่งมีอยู่มากมาย.

ตัวจัดการรหัสผ่านคืออะไร?

ปัญหาคือการจดจำรหัสผ่านที่ยาวซับซ้อนและไม่ซ้ำกันเหล่านี้ทั้งหมดเป็นงานของ Herculean ใครบ้างที่สามารถทำให้พวกเขาตรงทั้งหมด? นั่นคือสิ่งที่ผู้จัดการรหัสผ่านเข้ามา.

ผู้จัดการรหัสผ่านทำงานอย่างไรผู้จัดการรหัสผ่านส่วนใหญ่ได้รับการออกแบบมาเพื่อสร้างรหัสผ่านแบบสุ่มที่แข็งแกร่งและนับไม่ถ้วนสำหรับผู้ใช้แต่ละคน พวกเขาเก็บรหัสผ่านเหล่านี้แล้วเรียกคืนเมื่อคุณเยี่ยมชมแต่ละเว็บไซต์.

นอกจากนี้ยังเป็นไปได้สำหรับบริการเหล่านี้ในการจัดเก็บหมายเลขบัตรเครดิตของคุณรวมถึงรหัส CVV สามหลักที่ด้านหลังพร้อมกับ PIN และคำตอบของคุณสำหรับคำถามเพื่อความปลอดภัยต่างๆ ข้อมูลทั้งหมดเหล่านี้ถูกเข้ารหัสในการเสนอราคาเพื่อทำลายแฮกเกอร์ บริการเหล่านี้จำนวนมากใช้การแฮชซึ่งเป็นหลัก รับผิดชอบการแปลงข้อมูลธรรมดาเป็นสตริงของตัวเลขหรือตัวอักษรที่มีความยาวที่กำหนดไว้.

เมื่อใดก็ตามที่คุณต้องการเยี่ยมชมเว็บไซต์ที่คุณจะต้องใช้รหัสผ่านตัวใดตัวหนึ่งของคุณคุณเข้าสู่ "ห้องนิรภัย" ของข้อมูลที่คุณเก็บไว้ก่อนหน้านี้ด้วยตัวจัดการรหัสผ่านของคุณ การเข้าถึงได้รับรหัสผ่านเพียงครั้งเดียวสำหรับบริการผู้จัดการ.

ฟังก์ชั่นนี้ค่อนข้างสะดวก แต่สำคัญมากที่คุณจะไม่ไว้ใจผู้จัดการรหัสผ่านมากเกินไป. บริการเหล่านี้ไม่ใช่สัญลักษณ์มหัศจรรย์ที่จะช่วยปกป้องคุณจากอันตรายทั้งหมด. ก็ควรที่จะใช้ VPN เช่นนี้ NordVPN สำหรับการเรียกดูทั้งหมดการรับรองความถูกต้องด้วยสองปัจจัยสำหรับบัญชีที่มีค่ามากบางอย่างและเพื่อใช้อุปกรณ์ที่คุณเชื่อถือเท่านั้น.

ในความเป็นจริงคุณอาจฉลาดกว่าที่จะยกเลิกการใช้ตัวจัดการรหัสผ่านเลย.

ทำไมผู้จัดการรหัสผ่านจึงมีความเสี่ยง

ผู้จัดการรหัสผ่านจะเก็บข้อมูลสำคัญทั้งหมดของคุณไว้ในเครื่องหรือบนคลาวด์ ดังนั้นรหัสผ่านของคุณอยู่ในห้องนิรภัยบนไดรฟ์เก็บข้อมูลหรือคอมพิวเตอร์ที่บ้านของคุณหรือรหัสผ่านนั้นจะถูกเก็บไว้ในเซิร์ฟเวอร์ของผู้จัดการรหัสผ่านจากระยะไกล.

ผู้เล่นชื่อใหญ่ในอุตสาหกรรม ชอบ Dashlane1Password และ LastPass ใช้เซิร์ฟเวอร์เพื่อจัดเก็บข้อมูลส่วนตัวของคุณเป็นค่าเริ่มต้น. สิ่งนี้ช่วยให้คุณสามารถซิงค์ข้อมูลที่เก็บไว้ที่คุณอาจมีกับอุปกรณ์ทั้งหมดของคุณได้สะดวกยิ่งขึ้น.

แฮ็ครหัสผ่านตอนนี้ บริษัท เหล่านี้ทำสัญญามากมายเกี่ยวกับมาตรการรักษาความปลอดภัย แต่ก็ไม่ได้ทำให้ผู้บริโภคทุกคนสบายใจ. ลองจินตนาการดูว่าข้อมูลทั้งหมดที่มีค่าอย่างไม่น่าเชื่อบนเซิร์ฟเวอร์เดียวนั้นถูกแฮ็ค. เนื่องจากคุณใส่ไข่ทั้งหมดไว้ในตะกร้าใบเดียวคุณจึงสูญเสียการควบคุมชีวิตออนไลน์ของคุณ.

ความจริงก็คือแฮกเกอร์เพียงไม่กี่คนที่สามารถต้านทานการล่อลวงให้ผ่านระบบความปลอดภัยขั้นสูงได้ คิดถึงข้อมูลที่ประเมินค่ามิได้ทั้งหมดที่พวกเขาสามารถรวบรวมได้ด้วยแฮ็คเดียว. บางครั้งการรวมกันไม่ใช่การซ้อมรบที่ชาญฉลาด.

หากคุณไม่ชอบความคิดของที่เก็บข้อมูลบนคลาวด์สำหรับรหัสผ่านทั้งหมดของคุณบางทีคุณอาจเลือกใช้ที่จัดเก็บในตัวเครื่องแทน. Dashlane ทำให้เป็นไปได้เมื่อลูกค้าเลือกที่จะปิดการใช้งานคุณสมบัติ "ซิงค์".

1Password อนุญาตให้ลูกค้าซื้อลิขสิทธิ์ซอฟต์แวร์ที่ให้พวกเขาควบคุมตำแหน่งที่เก็บตู้นิรภัย KeePass ทำให้สามารถจัดเก็บข้อมูลของคุณในห้องนิรภัยที่เข้ารหัสบนอุปกรณ์ของคุณเอง.

อย่างไรก็ตามก่อนที่คุณจะกระโดดเข้าหาตัวเลือกเหล่านี้ถามตัวเองว่ามาตรการความปลอดภัยทางอิเล็กทรอนิกส์ของคุณปลอดภัยแค่ไหน? เป็นไปได้ไหมที่แฮ็กเกอร์สามารถผ่านพวกเขาเพื่อรับรหัสผ่านทั้งหมดของคุณจากอุปกรณ์ของคุณเอง?

ช่องโหว่ด้านความปลอดภัยที่คุณต้องรู้

การละเมิดความปลอดภัยที่ระบุไว้ไม่ได้อยู่ในเชิงทฤษฎี. หลายคนเกิดขึ้น ก่อนที่คุณจะตัดสินใจว่าจะใช้ตัวจัดการรหัสผ่านหรือไม่คุณควรคำนึงถึงการละเมิดเหล่านี้ด้วย.

การแตกที่ OneLogin

ผู้จัดการรหัสผ่าน OneLogin เปิดเผยเมื่อเดือนมิถุนายน 2017 ว่ามีการแฮก เหตุการณ์ที่รายงานอย่างกว้างขวาง ส่งผลกระทบต่อลูกค้าทั้งหมดของ บริษัท ที่มีการจัดเก็บข้อมูลในศูนย์ข้อมูลในสหรัฐอเมริกา.

ในการแถลงข่าว OneLogin เขียนว่า“ เราได้ปิดกั้นการเข้าถึงที่ไม่ได้รับอนุญาตนี้รายงานเรื่องการบังคับใช้กฎหมายและทำงานร่วมกับ บริษัท รักษาความปลอดภัยอิสระเพื่อกำหนดวิธีการเข้าถึงที่ไม่ได้รับอนุญาต”

LastPass รายงานการฝ่าฝืน

มีแฮ็คตัวจัดการรหัสผ่านที่น่าอับอายอีกตัวเกิดขึ้นที่ LastPass รายงานนี้ในเดือนเมษายน 2017 และ บริษัท อธิบายว่ามันเป็นปัญหาที่“ มีเอกลักษณ์และซับซ้อนสูง” ความหมายคือ LastPass ใช้เทคนิคการเข้ารหัสขั้นสูงและมาตรการรักษาความปลอดภัยที่สถานการณ์ทั้งหมด แต่คิดไม่ถึงและอาจไม่เกิดขึ้นอีก.

ปัญหาถูกระบุโดย Tavis Ormandy ซึ่งเป็นนักวิจัยด้านความปลอดภัยสำหรับ Project Zero ของ Google ออร์แมนดี้อธิบายถึงปัญหาว่าเป็น“ สถาปัตยกรรม” โดยธรรมชาติกล่าวต่อไปว่าต้องใช้เวลาในการแก้ไข.

ในขณะที่ LastPass ทำงานเพื่อแก้ไขช่องโหว่พวกเขาแนะนำให้ลูกค้าใช้ การรับรองความถูกต้องด้วยสองปัจจัย และเพื่อหลีกเลี่ยงลิงก์ที่น่าสงสัยทั้งหมด.

อย่างไรก็ตามนี่ไม่ใช่เหตุการณ์เดียวที่ LastPass ได้รับความเดือดร้อน ในเดือนมิถุนายน 2558 บริษัท ประกาศว่าเซิร์ฟเวอร์ของพวกเขาประสบปัญหาการบุกรุก LastPass รายงานว่าไม่มีรหัสผ่านที่เก็บไว้ถูกขโมยและ แฮกเกอร์ไม่ได้ใช้ที่อยู่อีเมลการแจ้งเตือนรหัสผ่านหรือการพิสูจน์ตัวตนแฮช.

KeePass รับการแฮ็ก - จัดเรียง

ความพร้อมใช้งานของเครื่องมือชื่อเล่น“ KeeFarce” ในปี 2558 ทำให้ทุกอย่างดูแปลกประหลาดสำหรับ KeePass แม้ว่าเครื่องมือแฮ็กเกอร์นี้มีเป้าหมายเพื่อ KeePass, เป็นไปได้ที่เครื่องมือสามารถปรับเปลี่ยนเพื่อกำหนดเป้าหมายเครื่องมือจัดการรหัสผ่านใด ๆ.

โดยพื้นฐานแล้วเครื่องมือนี้ได้รับการออกแบบมาเพื่อกำหนดเป้าหมายคอมพิวเตอร์ของผู้ใช้ซึ่งโดยทั่วไปแล้วไม่มีคุณสมบัติความปลอดภัยที่แข็งแกร่งซึ่งผู้จัดการรหัสผ่านใช้ เครื่องมือนี้สามารถถอดรหัสชื่อผู้ใช้และรหัสผ่านทั้งหมดที่ผู้ใช้เก็บไว้ด้วย KeePass ข้อมูลทั้งหมดจะถูกเขียนลงในไฟล์ที่แฮ็กเกอร์สามารถเข้าถึงได้.

เครื่องมือนี้ออกแบบมาเพื่อเน้นปัญหาที่ผู้จัดการรหัสผ่านทุกคนมี. คอมพิวเตอร์ที่ติดไวรัสเป็นคอมพิวเตอร์ที่มีช่องโหว่. ไม่ว่าตัวจัดการรหัสผ่านจะดีเพียงใดเมื่อคอมพิวเตอร์ของผู้ใช้ติดไวรัสหรือปัญหาอื่น ๆ การป้องกันที่ผู้จัดการเสนอให้นั้นจะถูกบุกรุก คุณต้องเสริมความปลอดภัยให้กับตัวเองหากคุณมีความหวังว่าจะได้รับประโยชน์จากผู้จัดการรหัสผ่าน.

ผู้รักษาจับข้อผิดพลาด

การตรวจจับข้อผิดพลาดในเดือนพฤษภาคม 2018 Keeper ประกาศว่าพวกเขาได้แก้ไขข้อผิดพลาดที่ระบุโดยนักวิจัยด้านความปลอดภัย ผู้วิจัยกล่าวว่า ข้อผิดพลาดอาจทำให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลส่วนตัวของผู้ใช้รายอื่น.

บั๊กถูกนำมาส่องสว่างผ่านรายการการเปิดเผยข้อมูลเพื่อความปลอดภัยสาธารณะ โดยพื้นฐานแล้วรายชื่อดังกล่าวระบุว่าบุคคลใดก็ตามที่ควบคุมเซิร์ฟเวอร์ API ของ บริษัท สามารถเข้าถึงคีย์ถอดรหัสเพื่อรับรหัสผ่านที่เป็นของผู้ใช้ทุกคนในทางทฤษฎี สาเหตุของปัญหาเกิดขึ้นกับ Keeper Commander สคริปต์ที่ขับเคลื่อนโดย Python ที่ทำให้ผู้ใช้สามารถหมุนรหัสผ่านได้.

บั๊กของผู้รักษาได้ถูกกำจัดไปแล้ว.

การค้นพบของ TeamSIK

ในเดือนกุมภาพันธ์ปี 2017 นักวิจัยที่ทำงานในสถาบันเทคโนโลยีสารสนเทศที่ปลอดภัยแห่ง Fraunhofer เปิดเผยต่อสาธารณชนหลังจากการตรวจสอบผู้จัดการรหัสผ่านที่ใช้บ่อยที่สุดเก้าคน ผลลัพธ์ที่ได้คืออะไร แต่ให้ความมั่นใจ.

โลโก้ของทีมซิกนักวิจัยเรียกว่า TeamSIK เรียกว่าการค้นพบของพวกเขา“ กังวลอย่างยิ่ง” พวกเขายังยืนยันว่า บริษัท เหล่านี้“ ละเมิดความเชื่อมั่นของผู้ใช้และเปิดเผยให้พวกเขามีความเสี่ยงสูง”

ผู้จัดการรหัสผ่านที่รวมอยู่ในการตรวจสอบคือ 1Password, รหัสผ่าน Avast, ซ่อนรูปภาพ Keep Vault ที่ปลอดภัย, Dashlane, คีย์ F-Secure, ผู้รักษา, LastPass, ตัวจัดการรหัสผ่าน Informaticore และรหัสผ่านของฉัน.

ผู้จัดการแต่ละคนในการตรวจสอบมีข้อบกพร่องด้านความปลอดภัยอย่างน้อยหนึ่งรายการ นักวิจัยแจ้ง บริษัท แต่ละแห่งที่ค้นพบและระบุปัญหาที่เกิดขึ้นอย่างรวดเร็ว ถึงกระนั้นไม่เหมือนที่แต่ละ บริษัท ควรตระหนักและแก้ไขปัญหาเหล่านี้โดยไม่ต้องใช้แหล่งข้อมูลภายนอกเพื่อโน้มน้าวให้พวกเขาดำเนินการ?

ในผลพวง, ผู้ใช้ควรได้รับการสนับสนุนเพื่อให้แน่ใจว่าได้รับการติดตั้งและใช้ซอฟต์แวร์ตัวจัดการรหัสผ่านเวอร์ชันล่าสุด เพื่อให้พวกเขาได้รับประโยชน์เต็มที่จากมาตรการความปลอดภัยที่ได้รับการอัพเกรด.

ด้านล่างนี้เป็นรายละเอียด / รายงานเฉพาะบางส่วน สำหรับรายละเอียดเฉพาะกรุณาเปิดแต่ละรายงาน.

MyPasswords 

  • อ่านข้อมูลส่วนตัวของแอป My Passwords
  • การถอดรหัสรหัสผ่านหลักของแอป My Passwords
  • ปลดล็อคคุณสมบัติพรีเมียมฟรีสำหรับรหัสผ่านของฉัน

ผู้จัดการรหัสผ่าน Informaticore 

  • ที่เก็บข้อมูลรับรองที่ไม่ปลอดภัยในตัวจัดการรหัสผ่าน Mirsoft

ตัวจัดการรหัสผ่าน LastPass 

  • มาสเตอร์คีย์ Hardcoded ในเครื่องมือจัดการรหัสผ่าน LastPass
  • ความเป็นส่วนตัวการรั่วไหลของข้อมูลในการค้นหาเบราว์เซอร์ LastPass
  • อ่านส่วนตัววันที่ (เก็บรหัสผ่านหลัก) จาก LastPass Password Manager

Keeper Passwort-Manager 

  • บายพาสคำถามความปลอดภัยของ Keeper Password Manager
  • Keeper Password Manager การฉีดข้อมูลโดยไม่ต้องใช้รหัสผ่านหลัก

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager ที่เก็บข้อมูลรับรองที่ไม่ปลอดภัย

ผู้จัดการรหัสผ่าน Dashlane 

  • อ่านข้อมูลส่วนตัวจากโฟลเดอร์แอพใน Dashlane Password Manager
  • การรั่วไหลของข้อมูลการค้นหาของ Google ในเบราว์เซอร์ตัวจัดการรหัสผ่าน Dashlane
  • การโจมตีของสารตกค้างสกัดรหัสผ่านมาสเตอร์จาก Dashlane Password Manager
  • การรั่วไหลของรหัสผ่านโดเมนย่อยในเบราว์เซอร์ตัวจัดการรหัสผ่าน Dashlane ภายใน

ซ่อนรูปภาพ Keep Safe Vault 

  • SKeepsafe Plaintext Password Storage

รหัสผ่าน Avast 

  • การขโมยรหัสผ่านสำหรับแอปจาก Avast Password Manager
  • Password Theft โดย Spoofed เว็บไซต์จาก Avast Password Manager
  • URL เริ่มต้นที่ไม่ปลอดภัยสำหรับไซต์ยอดนิยมในตัวจัดการรหัสผ่าน Avast
  • การรั่วไหลของรหัสผ่านโดเมนย่อยในตัวจัดการรหัสผ่าน Avast
  • การติดตั้งใช้งานระบบสื่อสารอย่างปลอดภัยในตัวจัดการรหัสผ่าน Avast
  • URL การทดสอบภายในใน Avast Password Manager

1Password - เครื่องมือจัดการรหัสผ่าน 

  • การรั่วไหลของรหัสผ่านโดเมนย่อยในเบราว์เซอร์ภายใน 1Password
  • Https ปรับลดรุ่นเป็น http URL โดยค่าเริ่มต้นใน 1Password Internal Browser
  • ชื่อเรื่องและ URL ที่ไม่ได้เข้ารหัสในฐานข้อมูล 1Password
  • อ่านข้อมูลส่วนตัวจากโฟลเดอร์แอพใน 1Password Manager
  • ปัญหาความเป็นส่วนตัว, ข้อมูลที่รั่วไหลไปยังผู้ขาย 1Password Manager

ประเภทของการละเมิดความปลอดภัย

ความจริงก็คือผู้จัดการรหัสผ่านที่สำคัญทุกคนมีการละเมิดความปลอดภัยที่ร้ายแรงในครั้งเดียวหรืออื่น แม้ว่าพวกเขาจะแก้ไขปัญหาตามที่ได้รับการเปิดเผย แต่ดูเหมือนว่าแผนการใหม่ ๆ. นี่คือบางส่วนของการรักษาความปลอดภัยละเมิดซึ่งผู้จัดการรหัสผ่านมีความเสี่ยง.

ฟิชชิ่ง - คนส่วนใหญ่เคยได้ยินเกี่ยวกับแผนการฟิชชิ่ง พวกเขาเกี่ยวข้องกับอีเมลหรือข้อความที่ส่งโดยนิติบุคคลหรือบุคคลที่น่าเชื่อถือ เป้าหมายคือเพื่อให้เหยื่อที่ไม่สงสัยเปิดเผยข้อมูลที่สำคัญเช่นหมายเลขบัญชีธนาคารหมายเลขบัตรเครดิตและหมายเลขประกันสังคมเพื่อจุดประสงค์ในการฉ้อโกงผู้รับ.

การโจมตีแบบฟิชชิ่ง

ฟิชชิงถูกใช้เพื่อหลอกลวงลูกค้าผู้จัดการรหัสผ่าน ในรูปแบบนี้ลูกค้าจะถูกขอให้เข้าสู่เว็บไซต์เนื่องจากเซสชันหมดอายุ เมื่อทำเช่นนั้นเว็บไซต์ฟิชชิ่งที่คล้ายกันที่สับสนก็คือที่ที่พวกเขาป้อนข้อมูลส่วนตัว ผู้ใช้เพิ่งเสนอรหัสผ่านลับให้แฮ็กเกอร์.

การปลอมแปลงคำขอข้ามไซต์ - มักเรียกว่า CSRF โครงการนี้หลอกผู้คนให้ลงมือทำโดยไม่ตั้งใจออนไลน์ มันใช้กับผู้ใช้ที่ได้รับการรับรองความถูกต้องในเว็บแอปพลิเคชัน ฝ่ายที่ชั่วร้ายมักส่งลิงค์ทางอีเมลเพื่อชักชวนให้เหยื่อโอนเงินหรือดำเนินการอื่น ๆ ที่อาจเป็นอันตราย.

การเขียนสคริปต์ข้ามไซต์ - รู้จักกันในชื่อ XSS การโจมตีนี้เกี่ยวข้องกับการแนะนำโค้ดที่เป็นอันตรายในเว็บไซต์ที่รู้จักและเชื่อถือได้.

การโจมตีของ Brute-Force - การละเมิดความปลอดภัยนี้เกี่ยวข้องกับซอฟต์แวร์อัตโนมัติที่พยายามใช้ชุดค่าผสมต่าง ๆ จนกว่าจะพบกับข้อมูลทองคำเช่นเซิร์ฟเวอร์ของตัวจัดการรหัสผ่านของคุณ.

รหัสผ่านอัตโนมัติช่องโหว่คุณสมบัติการเติมอัตโนมัติ - การใช้คุณสมบัติป้อนอัตโนมัติบนเว็บเบราว์เซอร์หรือตัวจัดการรหัสผ่านของคุณดึงดูดเพราะดูเหมือนว่าจะทำให้ทุกอย่างง่ายขึ้นมาก. ในความเป็นจริงคุณจะทำสิ่งต่าง ๆ ได้ง่ายขึ้นสำหรับอาชญากรไซเบอร์ทั่วโลก. มันยังถูกใช้งานโดยผู้โฆษณา.

การจัดเก็บรหัสผ่านหลักเป็นข้อความธรรมดา - การพิสูจน์ว่าผู้จัดการรหัสผ่านไม่จำเป็นต้องเป็นผู้รักษาประตูที่ดีที่สุดของข้อมูลสำคัญของคุณโครงการวิจัยหนึ่งเปิดเผยข้อเท็จจริงที่ว่าผู้จัดการรหัสผ่านบางคนเก็บรหัสผ่านหลักของลูกค้าเป็นข้อความธรรมดาโดยไม่มีการเข้ารหัสใด ๆ.

รหัสของแอปประกอบด้วยคีย์เข้ารหัส - โดยพื้นฐานแล้วรหัสของแอปจะเปิดเผยคีย์การเข้ารหัสภายในโค้ดเอง เป็นวันภาคสนามสำหรับแฮ็กเกอร์เมื่อมีการค้นพบช่องโหว่นี้.

คลิปบอร์ดการดมหรือการจี้ - การละเมิดนี้ช่วยให้อาชญากรสามารถรับข้อมูลรับรองที่ถูกคัดลอกไปยังหน่วยความจำของพีซีเพื่อให้พวกเขาสามารถวางลงในอินเทอร์เฟซสำหรับการป้อนรหัสผ่าน.

ข้อบกพร่องของเว็บเบราเซอร์ในตัว - ตัวจัดการรหัสผ่านบางตัวก็เป็นเบราว์เซอร์ซึ่งควรใช้เพื่อให้ลูกค้าปลอดภัยยิ่งขึ้นแบบออนไลน์ อย่างไรก็ตามด้วยตัวจัดการรหัสผ่านที่ไม่สมบูรณ์ซึ่งทุกคนมีความเป็นไปได้ที่จะเกิดข้อบกพร่อง.

การโจมตีข้อมูลตกค้าง - ผู้ใช้ที่ลบแอปออกจากอุปกรณ์ไม่จำเป็นต้องลบข้อมูลทั้งหมด แฮกเกอร์บางคนโจมตี "สารตกค้าง" ที่เหลืออยู่ มาตรการรักษาความปลอดภัยที่มั่นคงจริงๆเท่านั้นที่จะป้องกันอาชญากร.

การโจมตีทางไซเบอร์โดยคนในการแฮ็กข้อมูลภายใน - อย่าคิดว่าคุณปลอดภัยเพราะคุณใช้คอมพิวเตอร์ของ บริษัท แฮ็กบางตัวเป็นงานภายในที่ถูกเพื่อนร่วมงานปั่นป่วน นั่นเป็นเรื่องจริงที่สำนักงานผู้จัดการรหัสผ่าน คุณจะรู้ได้อย่างไรว่าคุณสามารถไว้วางใจพนักงานของผู้ให้บริการของคุณ?

ข้อมูลรั่วไหลผ่านหน่วยความจำ Swap - คอมพิวเตอร์ส่วนใหญ่มีหน่วยความจำหลักและที่เก็บข้อมูลสำรอง แต่ละกระบวนการที่คอมพิวเตอร์ดำเนินการจะได้รับหน่วยความจำมากเท่าที่ขอ กระบวนการที่ใช้งานอยู่จะถูกเก็บไว้ในหน่วยความจำหลัก กระบวนการที่อยู่เฉยๆจะถูกผลักออกไปยังที่เก็บข้อมูลสำรอง เมื่อกระบวนการเฉพาะเริ่มกินหน่วยความจำจำนวนมากรายการอื่น ๆ จะถูกผลักไปยังที่เก็บข้อมูลสำรอง ประสิทธิภาพของระบบลดลงและการยุติกระบวนการรั่วไหลอาจไม่ได้หมายความว่ากระบวนการที่ผลักไปยังที่เก็บข้อมูลสำรองจะถูกสลับกลับทันที สิ่งใดก็ตามที่ถูกเอาต์ซอร์ซไปยังที่เก็บข้อมูลสำรองอาจเสี่ยงต่อการถูกโจมตี.

อนาคตจะเป็นเช่นไร?

ตามที่ระบุไว้ผู้จัดการรหัสผ่านที่รู้จักกันดีเก้าคนได้แก้ไขปัญหาเหล่านี้ทั้งหมดแล้ว อย่างไรก็ตามปัญหาอื่น ๆ ที่อาจแฝงตัวอยู่คืออะไร? ช่องโหว่บางอย่างที่ TeamSIK เปิดเผยควรมีความชัดเจนมาก แต่ บริษัท เหล่านี้ก็ไม่ได้ตระหนักถึงปัญหาดังกล่าว ต้องใช้บุคคลที่สามที่เป็นอิสระเพื่อค้นหาปัญหาเหล่านี้และนำพวกเขาไปสู่ความสว่าง คุณสามารถเชื่อถือผู้จัดการรหัสผ่านด้วยข้อมูลที่ละเอียดอ่อนที่สุดของคุณได้หรือไม่?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me