آیا محافظ رمز عبور ایمن است؟ لیست هر نقض عمده

اگر هر وقت در اینترنت می گذرانید (و چه کسی این روزها را نمی گذرد؟) ، احتمالاً رمزهای عبور زیادی دارید.


هر بار که به حساب های رسانه های اجتماعی خود وارد شوید ، به یک رمزعبور احتیاج دارید ، مانده حساب بانکی خود را بررسی کنید یا چیزی را از آمازون سفارش دهید. اگر متعلق به هر انجمن هستید ، یک وب سایت را اجرا کنید یا حتی فقط یک وبلاگ بنویسید ، پسوردهای بیشتری نیز خواهید داشت.

ضرورت رمز عبوراستفاده از همان رمز عبور برای هر یک از این وب سایت ها وسوس آور است. از این گذشته ، احتمالاً باید در طول یک سال عادی ده ها وب سایت ، اگر نه صدها ، وب سایت وارد شوید. اگر برای هر یک از این وب سایت ها رمز عبوری بی نظیر و منحصر به فردی داشتید, چگونه می توان همه آنها را به یاد آورد?

متأسفانه ، بسیاری از افراد راه آسان را از سر می گیرند. آنها از یک رمز عبور استفاده می کنند که کاملاً واضح است ، "رمزعبور 123,"به عنوان مثال ، و سپس آن را برای همه فعالیت های آنلاین خود استفاده کنید. چرا این یک ایده وحشتناک است؟ زیرا اگر یک هکر موفق به گرفتن گذرواژه شما حتی در یک حساب کاربری شود ، پس رمز عبور شما را برای همه حساب های شما در اختیار دارد.

شاید این نکته را متوجه نکنید که اگر برخی از طرف های ناجوان قادر به ورود به نمایه فیس بوک شما باشند ، اگرچه چنین اتفاقی می افتد. با این حال ، اگر این رمز عبور به آنها امکان دسترسی به اطلاعات بانکی ، شماره کارتهای اعتباری شما ، شماره SocialSecurance یا هر چیز دیگری را بدهد ، مطمئناً به آنها اهمیت می دهید.

چرا گذرواژه‌ها بسیار مهم هستند

در سال های اخیر ، بسیاری از وب سایت ها اقدام به ایجاد الزامات رمزهای عبور طولانی و پیچیده کرده اند. این درد برای کاربر است که بتواند این رمزهای عبور را بیاد آورد و به خاطر بسپارد ، اما دلیل خوبی برای انجام این کار وجود دارد.

رمز عبور قویهرچه رمزهای عبور شما پیچیده تر و تصادفی تر باشد ، تشخیص هکرها برای آنها سخت تر خواهد بود. حال تصور کنید که ده‌ها این گذرواژه را داشته اید ، یکی برای هر یک از وب سایتهایی که مکرر آن را دارید. این هکرها تا زمانی که مجبور شوند زنجیره ای کاملاً تصادفی از 12 یا بیشتر حروف ، اعداد و کاراکترهای خاص را پیدا کنند به دست نخواهند رسید. این مشکلات فقط با استفاده از رمزهای عبور منحصر به فرد در هر یک از حساب های آنلاین شما ضرب می شوند.

این نوع رمز عبور برای امنیت آنلاین شما بسیار مهم است. هنگامی که یکی از هکرها رمز عبور خیلی ساده شما را فهمید ، می توانند خودشان از آن استفاده کنند یا آن را برای عمده های بازار سیاه بفروشند. برخی از این خریداران بسیار پیچیده هستند. در عرض چند دقیقه ، هویت شما به سرقت می رود ، امتیاز اعتبار شما خراب می شود و شما سالها و پول زیادی را صرف تلاش برای بازگرداندن شهرت خود خواهید کرد.

مطابق بررسی MIT Technology Review ، ایجاد یک رمزعبور واقعا قوی چیزی بیش از استفاده از یک حرف بزرگ ، یک عدد و یک شخصیت ویژه است. هرچه رمز خود را طولانی تر کنید ، و شخصیت های ویژه تری که از آن استفاده می کند ، احتمال ابتذال هکرها را بیشتر خواهید کرد.

هکرها نرم افزاری دارند که به طور مداوم و خستگی ناپذیر از طریق "حدس می زنند" رمز عبور را اجرا می کند. دیر یا زود ، ممکن است بر روی مال شما بچسبند. اما اگر رمز عبور شما طولانی ، پیچیده و کاملاً تصادفی است ، پس از آن شانس خوب است که هکر به دنبال طعمه بسیار آسان تر باشد, که به وفور موجود است.

مدیر رمز عبور چیست؟?

مشکل این است که به خاطر سپردن همه این رمزهای عبور فوق العاده طولانی ، پیچیده و بی نظیر یک کار هرکولین است. چه کسی می تواند همه آنها را مستقیم نگه دارد؟ اینجاست که مدیران رمز ورود وارد می شوند.

نحوه مدیریت مدیر رمز عبوربیشتر مدیران رمزعبور برای ایجاد رمزهای عبور بی شماری قوی و تصادفی برای کاربران خاص طراحی شده اند. آنها این گذرواژه‌ها را ذخیره کرده و هنگام بازدید از هر وب سایت ، آنها را بازیابی می کنند.

همچنین این سرویس ها می توانند شماره کارتهای اعتباری شما ، از جمله کد CVV سه رقمی را در پشت ، به همراه پین ​​ها و پاسخ های شما در مورد سؤالات مختلف امنیتی ، ذخیره کنند. همه این داده ها به منظور خنثی کردن هکرها رمزگذاری می شوند. بسیاری از این سرویس ها از هش کردن استفاده می کنند ، که در واقع چنین است مسئول تبدیل داده های ساده به رشته های اعداد یا شخصیت هایی با طول از پیش تعیین شده است.

هر زمان که می خواهید به وب سایتی مراجعه کنید که در آن نیاز به استفاده از رمزهای عبور خود دارید ، به "طاق" داده هایی که قبلاً در مدیر رمز عبور خود ذخیره کرده اید ، وارد می شوید. دسترسی از طریق یک رمز عبور واحد برای سرویس مدیر مجاز می شود.

به نظر می رسد بسیار مناسب است ، اما بسیار مهم است که اعتماد زیادی به مدیران رمز عبور نکنید. این سرویس ها یک گلوله جادویی نیستند که از هرگونه آسیب در امان بماند. هنوز هم استفاده از VPN مانند عاقلانه است NordVPN برای همه مرور ، تأیید هویت دو عاملی برای برخی از حسابهای بسیار با ارزش و فقط از دستگاههایی که به آنها اعتماد دارید استفاده کنید.

در حقیقت ، ممکن است عاقلانه عاقلانه از استفاده از یک مدیر رمز عبور عاقلانه باشید.

چرا مدیران رمز عبور می توانند ریسک پذیر باشند

مدیران گذرواژه تمام داده های حساس شما را بصورت محلی یا روی یک ابر ذخیره می کنند. بر این اساس ، گذرواژه‌های شما در یک درایو ذخیره سازی یا رایانه در منزل شما طاق است یا از راه دور در سرورهای مدیر رمز عبور نگهداری می شوند.

بازیکنان بزرگ در صنعت پسندیدن داشلان1 کلمه و LastPass از سرورهای آنها استفاده کنید تا اطلاعات خصوصی شما بصورت پیش فرض ذخیره شود. این همگام سازی داده های ذخیره شده ای را که ممکن است با همه دستگاه های خود داشته باشید ، برای شما راحت تر می کند.

هک رمز عبوراکنون ، این شرکت ها وعده های زیادی درباره اقدامات امنیتی خود می دهند ، اما این باعث نمی شود همه مصرف کنندگان راحت باشند. فقط تصور کنید که اگر تمام داده های فوق العاده با ارزش در سرور منفرد توسط هک به خطر بیفتد. از آنجا که همه تخم های خود را در یک سبد قرار داده اید ، کنترل زندگی آنلاین خود را از دست داده اید.

واقعیت این است که تعداد کمی از هکرها می توانند در برابر وسوسه پیروزی از سیستم های امنیتی پیشرفته مقاومت کنند. به تمام داده های بی ارزشی که فقط با یک هک می توانند جمع کنید ، بیاندیشید. بعضی اوقات ، تحکیم یک مانور عاقلانه نیست.

اگر واقعاً فکر همه فضای پس انداز خود را دوست ندارید ، شاید به جای آن بتوانید از فضای ذخیره محلی استفاده کنید. داشلان این امر هنگامی امکان پذیر می شود که مشتریان غیرفعال کردن ویژگی "همگام سازی" را انجام دهند.

1Password به شما امکان می دهد تا یک مشتری مجوز نرم افزاری بخرند که به آنها امکان کنترل محل نگهداری طاق آنها را می دهد. KeePass این امکان را برای شما فراهم می کند که داده های خود را در طاق رمزگذاری شده در دستگاه خود ذخیره کنید.

با این حال ، قبل از اینکه هر دو پا روی این گزینه ها بپرید ، از خود بپرسید که اقدامات امنیتی الکترونیکی خود را چقدر ایمن کرده است؟ آیا این امکان وجود دارد که یک هکر بتواند از طریق آنها بتواند تمام رمزهای عبور شما را از دستگاه شما بگیرد?

نقض امنیتی که باید درباره آن بدانید

موارد نقض امنیتی ذکر شده نظری نیست. بسیاری از آنها اتفاق افتاده است. قبل از تصمیم گیری استفاده از مدیر رمز عبور برای شما معنی دارد ، این تخلفات را در نظر بگیرید.

نقض در OneLogin

مدیر رمز عبور OneLogin در ژوئن سال 2017 فاش کرد که دچار هک شده است. این حادثه که به طور گسترده گزارش شده است همه مشتریهای این شرکت را که داده های آنها در مرکز داده ایالات متحده ذخیره شده است ، تحت تأثیر قرار داد.

OneLogin در یک بیانیه مطبوعاتی نوشت: "ما از آن زمان این دسترسی غیرمجاز را مسدود کردیم ، موضوع را به اجرای قانون گزارش دادیم و با یک شرکت امنیتی مستقل در حال همکاری برای تعیین چگونگی دسترسی غیرمجاز هستیم."

LastPass گزارش یک نقض

یکی دیگر از هک های مدیر رمزعبور نسبتاً بدنام در LastPass رخ داد. این در آوریل 2017 گزارش شده است ، و این شرکت آن را به عنوان یک مشکل "بی نظیر و بسیار پیشرفته" توصیف کرده است. پیامد این است که LastPass از تکنیک های پیشرفته رمزگذاری و اقدامات امنیتی استفاده می کند که وضعیت همه چیز غیرقابل تصور است و احتمالاً نمی تواند دوباره رخ دهد..

این مشکل توسط Tavis Ormandy ، یک محقق امنیتی برای پروژه Google Zero Google شناسایی شده است. اروماندی این موضوع را از نظر معماری "طبیعت" توصیف کرد و در ادامه گفت که برای رسیدگی به آن زمان زیادی لازم است.

در حالیکه LastPass برای اصلاح آسیب پذیری کار می کرد ، آنها به مشتریان توصیه می کردند از آنها استفاده کنند احراز هویت دو عاملی و برای جلوگیری از همه پیوندهای مشکوک.

با این حال ، این تنها اتفاقی نیست که LastPass متحمل شده است. در ژوئن سال 2015 ، این شرکت اعلام کرد که سرورهای آنها یک نفوذ را تجربه کرده اند. LastPass گزارش داد که هیچ رمزعبور ذخیره نشده دزدیده نشده است هکرها آدرس ایمیل ، یادآوری گذرواژه یا هشدارهای تأیید اعتبار را دریافت نکردند.

KeePass هک شد - مرتب سازی بر اساس

در دسترس بودن ابزاری با نام مستعار "KeeFarce" در سال 2015 باعث شده تا اوضاع برای KeePass ظریف تر به نظر برسد. اگرچه این ابزار هکری مورد هدف KeePass قرار گرفت, امکان پذیر است که این ابزار برای هدف قرار دادن هر مدیر رمز عبور قابل تغییر باشد.

در اصل ، این ابزار برای هدف قرار دادن رایانه های کاربران طراحی شده است ، که به طور کلی ویژگی های امنیتی قوی ای ندارند که مدیران رمز عبور از آن استفاده می کنند. این ابزار قادر به رمزگشایی کلیه نامهای کاربری و رمزهای عبور کاربر با KeePass بود. سپس تمام داده ها روی پرونده ای نوشتند که هکر بتواند به آن دسترسی پیدا کند.

این ابزار برای برجسته کردن مشکلی که همه مدیران رمز عبور دارند طراحی شده است. کامپیوتر آلوده یک کامپیوتر آسیب پذیر است. مهم نیست که مدیر رمز عبور چقدر خوب است وقتی کامپیوتر کاربر به یک ویروس یا مشکل دیگر آلوده باشد ، محافظت ارائه شده توسط مدیر به خطر می افتد. اگر می خواهید به نفع یک مدیر گذرواژه امیدوار باشید ، باید امنیت خود را تقویت کنید.

دروازه بان اشکال را جلب می کند

تشخیص اشکالدر ماه مه سال 2018 ، Keeper اعلام کرد که اشکالی را برطرف کرده اند که توسط یک محقق امنیتی شناسایی شده است. محقق این را گفت این اشکال ممکن است افراد غیرمجاز را به دسترسی به داده های شخصی متعلق به یک کاربر دیگر امکان پذیر کند.

این اشکال از طریق لیست افشای امنیت عمومی آشکار شد. در اصل ، در این لیست آمده است که هر شخصی که سرور API شرکت را کنترل می کرد ، می تواند از لحاظ تئوری به کلید رمزگشایی به طاق رمزهای عبور متعلق به هر کاربر دسترسی داشته باشد. منبع مشکل با Keeper Commander موجود بود ، اسکریپتی که توسط Python ساخته شده است و به کاربران امکان می دهد رمزهای عبور را بچرخانند.

اشکال دروازه بان از آن زمان برداشته شده است.

یافته های TeamSIK

در فوریه سال 2017 ، محققانی که در انستیتوی فناوری اطلاعات ایمنی Fraunhofer کار می کنند ، پس از بررسی 9 مدیر متداول رمز عبور ، یافته های خود را منتشر کردند. نتایج به دست آمده اطمینان بخش نبود.

آرم تیم سیکمحققان موسوم به TeamSIK ، یافته های خود را "بسیار نگران کننده" خواندند. آنها حتی ادعا کردند که این شرکت ها "از اعتماد کاربران سوءاستفاده می کنند و آنها را در معرض خطرات زیاد قرار می دهند."

مدیران رمز عبور که در این بررسی گنجانده شده بودند عبارتند از: 1Password ، گذرواژه‌های Avast ، مخفی کردن تصاویر Keep Safe Vault ، Dashlane ، F-Secure KEY ، Keeper ، LastPass ، مدیر رمز عبور Informaticore و رمزهای من.

هر مدیر در بررسی حداقل یک نقص امنیتی داشت. محققان هر یک از شرکت ها را از یافته های خود آگاه کردند و مشکلات حرکتی به سرعت مرتفع شد. با این وجود ، به نظر نمی رسد که هر شرکتی باید این مشکلات را درک کرده و اصلاح کرده باشد ، بدون این که به منبع خارجی نیاز داشته باشد تا بتواند آنها را برای انجام اقدامات عملی مجبور کند?

در پی, کاربران تشویق می شوند که از وصله و استفاده از آخرین نسخه های نرم افزار مدیر رمز عبور اطمینان حاصل شود آنها به طور کامل از اقدامات امنیتی به روز شده بهره مند می شوند.

در زیر برخی از جزئیات / گزارش های خاص آورده شده است. برای جزئیات خاص ، لطفاً هر گزارش را باز کنید.

MyPasswords 

  • اطلاعات خصوصی برنامه «گذرواژه‌های من» را بخوانید
  • رمزگشایی رمز عبور کارشناسی ارشد برنامه رمزهای من
  • ویژگی های حق بیمه رایگان برای رمزهای من باز شد

مدیر رمز عبور Informaticore 

  • ذخیره سازی اعتبار ناامن در مدیریت رمز عبور Mirsoft

مدیر رمز عبور LastPass 

  • استاد کلید سخت در مدیریت گذرواژه LastPass
  • حریم خصوصی ، نشت داده ها در جستجوی مرورگر LastPass
  • تاریخ خصوصی (Masterpassword ذخیره شده) را از مدیر کلمه عبور LastPass بخوانید

مدیر پاسگاه نگهبان 

  • بایدها و نبایدها مدیر امنیت رمز عبور Keeper
  • تزریق داده های Manager Manager Keeper بدون رمز عبور اصلی

مدیر رمز عبور F-Secure KEY 

  • مدیر رمز عبور F-Secure KEY ذخیره سازی اعتبار ناامن

مدیر رمز عبور Dashlane 

  • داده های خصوصی از پوشه برنامه را در مدیریت رمز عبور Dashlane بخوانید
  • نشت اطلاعات جستجوی Google در مرورگر مدیریت رمز عبور Dashlane
  • Residue Attack استخراج Masterpassword از مدیر رمز عبور Dashlane
  • نشت رمز عبور Subdomain در مرورگر مدیریت رمز عبور داخلی Dashlane

مخفی کردن تصاویر Keep Vault Safe 

  • ذخیره رمز عبور SKeepsafe Plaintext

رمزهای عبور 

  • سرقت رمز عبور برنامه از مدیر رمز عبور Avast
  • سرقت رمز عبور توسط وب سایت Spoofed از مدیر رمز عبور Avast
  • URL های پیش فرض ناامن برای سایت های محبوب در مدیر رمز عبور Avast
  • نشت رمز عبور Subdomain در مدیر رمز عبور Avast
  • پیاده سازی ارتباطات ایمن شکسته در مدیر رمز عبور Avast
  • URL های تست داخلی در مدیر رمز عبور Avast

1Password - مدیر رمز عبور 

  • نشت رمز عبور Subdomain در مرورگر داخلی 1Password
  • Https به صورت پیش فرض در مرورگر داخلی 1Password به آدرس URL پایین می رود
  • عنوان ها و آدرس های اینترنتی رمزگذاری نشده در پایگاه داده 1Password
  • داده های خصوصی از پوشه برنامه را در مدیریت 1Password بخوانید
  • مسئله حریم خصوصی ، اطلاعاتی که به مدیر 1Password فروشنده ارائه شده است

انواع نقض امنیت

واقعیت این است که همه مدیران اصلی رمز عبور در یک زمان خاص نقض امنیتی جدی داشته اند. حتی اگر آنها مشکلات را به عنوان پرده برطرف کنند ، به نظر می رسد که طرح های جدید همیشه دور هستند. اینها برخی از نقض امنیتی است که مدیران رمز عبور آسیب پذیر می باشند.

فیشینگ - بیشتر مردم در مورد برنامه های فیشینگ شنیده اند. آنها شامل یک ایمیل یا پیام متنی هستند که گفته می شود توسط یک شخص معتبر یا فرد معتبر ارسال شده است. هدف این است که یک قربانی مظنون به فاش کردن داده های حساس مانند شماره حساب های بانکی ، شماره کارت های اعتباری و شماره های تأمین اجتماعی با هدف جعل گیرنده.

جریان حمله فیشینگ

از فیشینگ برای جعل مشتری مدیر رمز عبور استفاده شده است. در این طرح از مشتریان خواسته می شود به دلیل یک جلسه منقضی به وب سایت وارد شوند. وقتی این کار را انجام دهند ، یک وب سایت فیشینگ گیج کننده مشابه در واقع جایی است که می توانند داده های خصوصی خود را وارد کنند. کاربر به تازگی با تمایل رمزعبور مخفی خود را به یک هکر ارائه داده است.

درخواست جعلی درخواست متقابل - این طرح که غالباً به عنوان CSRF خوانده می شود ، افراد را به سمت انجام اقدامات ناخواسته بصورت آنلاین ترغیب می کند. این کار در کاربرانی است که در یک برنامه وب تأیید اعتبار می کنند. طرف شرور غالباً پیامی را از طریق ایمیل ارسال می کند تا قربانی را وادار به انتقال وجوه یا انجام سایر اقدامات بالقوه مضر کند.

برنامه نویسی متقاطع - به عنوان معروف XSS ، این حمله مستلزم معرفی کد مخرب در وب سایت های شناخته شده و قابل اعتماد است.

حملات بی رحمانه - این نقض امنیتی شامل نرم افزاری خودکار است که ترکیبات مختلفی را امتحان می کند تا اینکه به یک معدن طلای داده مانند سرور مدیر رمز عبور شما برخورد نکرد.

رمز عبور خودکارآسیب پذیری ویژگی های خودکار را پر کنید - استفاده از ویژگی پر کردن خودکار در مرورگر وب یا مدیر رمز عبور خود وسوسه انگیز است زیرا به نظر می رسد همه چیز را بسیار آسان تر می کند. در واقعیت ، شما فقط می توانید کارها را برای مجرمان سایبری خود در سراسر جهان آسانتر کنید. حتی توسط تبلیغ کنندگان مورد استفاده قرار می گیرد.

ذخیره رمز عبور استاد به متن ساده - با توجه به اینکه مدیران گذرواژه لزوماً بهترین دروازه بانان داده های حساس شما نیستند ، یک پروژه تحقیقاتی از این واقعیت پرده برداشت که برخی از مدیران رمز عبور در حال ذخیره رمزهای اصلی مشتری در متن ساده و بدون هیچگونه رمزگذاری بودند..

کد برنامه حاوی کلیدهای رمزگذاری است - در اصل ، کد شخصی برنامه کلیدهای رمزگذاری را درون خود کد قرار می دهد. هنگامی که این آسیب پذیری کشف شد ، یک روز درست برای هکرها است.

Clipboard Sniffing یا Hijacking - این نقض به مجرمان اجازه می دهد تا مدارکی را که در حافظه رایانه شخصی کپی شده است ، بگیرند تا بتوان آنها را برای ورود به یک رابط وارد کرد..

نقص در مرورگر وب - برخی از مدیران رمز عبور نیز مرورگرهایی هستند که استفاده از آنها قرار است مشتریان را ایمن تر آنلاین کند. با این وجود ، با یک مدیر گذر ناقص - که همه آنها هستند ، امکان نقص چندین برابر می شود.

Attack Residue Attack - کاربرانی که برنامه ها را از دستگاه های خود حذف می کنند لزوماً همه اثری از آن حذف نمی شوند. برخی از هکرها به "باقیمانده" باقی مانده حمله می کنند. فقط اقدامات امنیتی کاملاً محکم در واقع جلوی مجرمان را می گیرد.

حملات سایبری توسط خودی هاخودی هک شدن - فرض نکنید که شما فقط به دلیل استفاده از رایانه شرکت ، در امان هستید. برخی از هک ها یک کار درون است که توسط یک همکار انجام می شود. این دقیقاً در دفاتر مدیران رمز عبور صادق است. چگونه می دانید می توانید به کارمندان ارائه دهنده خود اعتماد کنید?

نشت اطلاعات از طریق حافظه مبادله - بیشتر رایانه ها حافظه اصلی و حافظه ثانویه دارند. هر فرایندی که کامپیوتر انجام می دهد به همان اندازه حافظه درخواست می کند. فرآیند فعال در حافظه اصلی ذخیره می شود. فرآیندهای خفته به سمت ذخیره سازی ثانویه رانده می شوند. هنگامی که یک فرآیند خاص شروع به خوردن چند هزار حافظه می کند ، موارد بیشتری به سمت ذخیره سازی ثانویه رانده می شوند. عملکرد سیستم رو به وخامت می رود و خاتمه فرایند نشت ممکن است به معنای این نباشد که فرآیندی که به سمت ذخیره سازی ثانویه سوق داده شده اند فوراً تعویض می شوند. هر چیزی که از ذخیره ثانویه خارج شده باشد ممکن است در برابر حمله آسیب پذیر باشد.

چه چیزی آینده را نگه می دارد?

همانطور که اشاره شد ، نه مدیر شناخته شده گذرواژه از آن زمان همه این موارد را برطرف کرده اند. با این حال ، چه مشکلات دیگری ممکن است کمین باشد؟ برخی از آسیب پذیری هایی که توسط TeamSIK کشف شد باید کاملاً آشکار بود ، اما هیچ یک از این شرکت ها از آنها آگاهی نداشتند. یک شخص ثالث مستقل برای کشف این مسائل و افشای آن ها به طول انجامید. آیا واقعاً می توانید به یک مدیر رمز عبور با حساس ترین داده های خود اعتماد کنید?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me