هل حماة كلمة المرور آمنة؟ قائمة بكل خرق رئيسي

إذا كنت تقضي أي وقت على الإنترنت (ومن لا يفعل هذه الأيام؟) ، فمن المحتمل أن يكون لديك الكثير من كلمات المرور.


تحتاج إلى كلمة مرور في كل مرة تقوم فيها بتسجيل الدخول إلى حسابات وسائل التواصل الاجتماعي الخاصة بك أو التحقق من رصيد حسابك المصرفي أو طلب شيء من Amazon. إذا كنت تنتمي إلى أي منتديات ، وقمت بتشغيل موقع ويب أو حتى مجرد كتابة مدونة ، فأنت تمتلك كلمات مرور أكثر.

كلمة السر ضرورةمن المغري استخدام نفس كلمة المرور لكل موقع من هذه المواقع. بعد كل شيء ، ربما تحتاج إلى تسجيل الدخول إلى عشرات ، إن لم يكن مئات ، من مواقع الويب خلال السنة العادية. إذا كان لديك كلمة مرور قوية وفريدة لكل موقع من هذه المواقع, كيف يمكن أن تتذكرهم جميعًا?

لسوء الحظ ، الكثير من الناس يأخذون الطريق السهل. يستخدمون كلمة مرور واضحة إلى حد ما ، ويقول "Password123,"على سبيل المثال ، ثم استخدمها في جميع أنشطتها عبر الإنترنت. لماذا هذه الفكرة الرهيبة؟ لان إذا تمكن أحد المتطفلين من الحصول على كلمة المرور الخاصة بك على حساب واحد ، فسيكون لديه كلمة مرورك لجميع حساباتك.

ربما لا يمكنك أن تكون مشكلة كبيرة بشكل خاص إذا كان بإمكان بعض الأطراف الشائنة تسجيل الدخول إلى ملفك الشخصي على Facebook ، على الرغم من أنها قد تتسبب في حدوث فساد في حالة حدوث ذلك. ومع ذلك ، إذا أتاحت لهم كلمة المرور هذه الوصول إلى معلوماتك المصرفية أو أرقام بطاقات الائتمان الخاصة بك أو رقم الضمان الاجتماعي أو أي شيء آخر ، فإنك بالتأكيد ستهتم.

لماذا كلمات المرور القوية ضرورية

في السنوات الأخيرة ، بدأت العديد من مواقع الويب في وضع متطلبات لكلمات المرور الطويلة والمعقدة بشكل متزايد. إنه لألم بالنسبة للمستخدم أن يتوصل إلى كلمات المرور هذه ويتذكرها ، ولكن هناك سبب وجيه لذلك.

كلمة مرور قويةكلما كانت كلمات مرورك أكثر تعقيدًا وعشوائية ، كلما صعب على المتسللين تمييزها. الآن ، تخيل أنك حصلت على العشرات من كلمات المرور هذه ، واحدة لكل موقع من مواقع الويب التي تتكرر فيها. لن يصل هؤلاء المتسللون إلى الحد الأقصى عندما يتعين عليهم اكتشاف سلسلة عشوائية تمامًا تتكون من 12 حرفًا أو أكثر وأرقامًا وشخصيات خاصة. يتم مضاعفة المشكلات فقط من خلال استخدام كلمات مرور فريدة على كل حساب من حساباتك عبر الإنترنت.

هذا النوع من كلمة المرور أمر بالغ الأهمية لأمنك على الإنترنت. بمجرد اكتشاف أحد المتسللين لكلمة مرورك البسيطة للغاية ، يمكنه استخدامها أو بيعها مقابل دولارات كبرى في السوق السوداء. بعض هؤلاء المشترين متطورة بشكل لا يصدق. في غضون دقائق ، يتم سرقة هويتك ، وتصنيفك الائتماني محطم ستقضي سنوات وكثير من المال في محاولة لاستعادة سمعتك.

وفقًا لمراجعة MIT Technology ، فإن إنشاء كلمة مرور قوية حقًا هو أكثر من مجرد استخدام حرف واحد ورقم واحد وشخصية خاصة واحدة. كلما قمت بإنشاء كلمة المرور الخاصة بك ، وكلما زاد عدد الأحرف الخاصة التي تستخدمها ، زاد احتمال قيامك بجمع المتسللين.

لدى المتسللين برنامج يعمل باستمرار وبلا كلل من خلال "تخمينات" كلمة المرور. عاجلاً أم آجلاً ، قد يتمسكوا بك. ومع ذلك ، إذا كانت كلمة المرور طويلة ومعقدة وعشوائية تمامًا ، إذن فرص جيدة أن القراصنة سوف يبحث عن فريسة أسهل بكثير, وهو متاح في وفرة.

ما هو مدير كلمة المرور?

المشكلة هي أن تذكر كل كلمات المرور الطويلة والمعقدة والفريدة هذه هي مهمة شاقة. من يستطيع أن يبقيهم جميعًا مستقيمين؟ هذا هو المكان الذي يأتي فيه مديرو كلمة المرور.

كيف يعمل مدير كلمة المرورتم تصميم معظم مديري كلمة المرور لإنشاء عدد لا يحصى من كلمات المرور العشوائية القوية للمستخدمين الفرديين. يقومون بتخزين كلمات المرور هذه ، ثم يسترجعونها عند زيارة كل موقع ويب.

يمكن أيضًا لهذه الخدمات تخزين أرقام بطاقات الائتمان الخاصة بك ، بما في ذلك رمز CVV المكون من ثلاثة أرقام على ظهره ، إلى جانب أرقام التعريف الشخصية وإجاباتك على أسئلة الأمان المختلفة. يتم تشفير كل هذه البيانات في محاولة لإحباط المتسللين. العديد من هذه الخدمات تستخدم التجزئة ، والتي هي في الأساس المسؤول عن تحويل البيانات العادية إلى سلاسل أرقام أو أحرف بطول محدد مسبقًا.

في أي وقت تريد فيه زيارة موقع ويب حيث ستحتاج إلى استخدام إحدى كلمات المرور الخاصة بك ، تقوم بتسجيل الدخول إلى "قبو" البيانات التي قمت بتخزينها مسبقًا مع مدير كلمات المرور. يتم منح الوصول من خلال كلمة مرور واحدة لخدمة المدير.

يبدو هذا مناسبًا جدًا ، لكن من الأهمية بمكان ألا تضع الكثير من الثقة في مديري كلمات المرور. هذه الخدمات ليست رصاصة سحرية تحميك من أي ضرر. لا يزال من الحكمة استخدام VPN مثل NordVPN بالنسبة لجميع عمليات التصفح ، مصادقة ثنائية لبعض الحسابات القيمة للغاية واستخدام الأجهزة التي تثق بها فقط.

في الواقع ، قد يكون من الحكمة التخلي عن استخدام مدير كلمات المرور على الإطلاق.

لماذا يمكن أن مديري كلمة المرور تكون محفوفة بالمخاطر

يقوم مديرو كلمات المرور بتخزين جميع بياناتك الحساسة إما محليًا أو على السحابة. وفقًا لذلك ، توجد كلمات المرور الخاصة بك في قبو على محرك تخزين أو كمبيوتر في منزلك أو يتم حفظها عن بُعد على خوادم مدير كلمة المرور.

لاعبين كبار الاسم في هذه الصناعة مثل Dashlane1Password و لاست باس استخدام الخوادم الخاصة بهم لتخزين المعلومات الخاصة بك بشكل افتراضي. هذا يجعله أكثر ملاءمة لك لمزامنة أي بيانات مخزنة قد تكون لديك مع جميع أجهزتك.

اختراق كلمة السرالآن ، تقدم هذه الشركات الكثير من الوعود بشأن التدابير الأمنية الخاصة بها ، لكن هذا لا يجعل جميع المستهلكين مرتاحين. فقط تخيل ما إذا كانت كل هذه البيانات القيمة بشكل لا يصدق على ذلك الخادم الواحد قد تم اختراقها بواسطة اختراق. نظرًا لأنك وضعت كل بيضك في سلة واحدة ، فقد فقدت السيطرة على حياتك على الإنترنت.

والحقيقة هي أن القليل من المتسللين يمكنهم مقاومة إغراء تجاوز أنظمة الأمان المتقدمة. فكر في جميع البيانات التي لا تقدر بثمن والتي يمكنهم جمعها مع اختراق واحد فقط. في بعض الأحيان ، التوحيد ليس مناورة حكيمة.

إذا لم تعجبك حقًا فكرة التخزين السحابي لكل كلمات المرور الخاصة بك ، فربما يمكنك اختيار التخزين المحلي بدلاً من ذلك. Dashlane يجعل ذلك ممكنًا عندما يختار العملاء تعطيل ميزة "المزامنة".

يتيح 1Password للعملاء شراء ترخيص برنامج يتيح لهم التحكم في مكان حفظ قبوهم. يتيح KeePass تخزين بياناتك في قبو مشفر على جهازك.

ومع ذلك ، قبل أن تقفز بقدمي هذه الخيارات ، اسأل نفسك ما مدى أمان إجراءات الأمان الإلكترونية الخاصة بك؟ هل من الممكن أن يتمكن أحد المتطفلين من اختراقها لأخذ جميع كلمات المرور الخاصة بك من جهازك الخاص?

خروقات أمنية تحتاج إلى معرفتها

الانتهاكات الأمنية المدرجة ليست نظرية. لقد حدث الكثير منهم. قبل أن تقرر ما إذا كان استخدام كلمة مرور مدير أم لا أمر منطقي بالنسبة لك ، يجب مراعاة هذه الانتهاكات.

خرق في OneLogin

كشف مدير كلمات المرور OneLogin في يونيو عام 2017 عن تعرضه للاختراق. الحادث المبلغ عنه على نطاق واسع أثر على جميع عملاء الشركة الذين تم تخزين بياناتهم في مركز بيانات الولايات المتحدة.

في بيان صحفي ، كتب OneLogin قائلاً: "لقد قمنا منذ ذلك الحين بحظر الوصول غير المصرح به ، وأبلغنا عن إنفاذ القانون ، ونحن نعمل مع شركة أمنية مستقلة لتحديد كيفية حدوث الوصول غير المصرح به."

LastPass تقارير خرق

حدث اختراق آخر لمدير كلمات المرور سيئة السمعة بدلاً من ذلك في LastPass. تم الإبلاغ عن ذلك في أبريل 2017 ، ووصفته الشركة بأنه مشكلة "فريدة ومتطورة للغاية". المعنى الضمني هو أن LastPass يستخدم تقنيات التشفير المتقدمة وإجراءات الأمان بحيث يكون الموقف غير متصور ولا يمكن أن يحدث مرة أخرى..

تم تحديد المشكلة بواسطة Tavis Ormandy ، الباحث الأمني ​​في Google Project Project Zero. وصف أورماندي القضية بأنها "معمارية" بطبيعتها ، مضيفًا أن الأمر يتطلب وقتًا طويلاً للتصدي لها.

بينما يعمل LastPass على تصحيح الثغرة الأمنية ، ينصح العملاء باستخدامها توثيق ذو عاملين ولتجنب كل الروابط المشبوهة.

ومع ذلك ، ليس هذا هو الحدث الوحيد الذي عانى LastPass. في يونيو 2015 ، أعلنت الشركة أن خوادمها واجهت اقتحام. أبلغ LastPass أنه لم يتم سرقة كلمات المرور المخزنة وأن المتسللين لم يأخذوا عناوين البريد الإلكتروني أو تذكير كلمة المرور أو تجزئة المصادقة.

KeePass يحصل اخترق - نوع من

إن توفر أداة أطلق عليها اسم "KeeFarce" في عام 2015 جعل الأمور تبدو ناعمة بالنسبة لـ KeePass. على الرغم من أن أداة القراصنة هذه استهدفت KeePass, من الممكن تعديل الأداة لاستهداف أي مدير كلمات مرور.

في الأساس ، تم تصميم هذه الأداة لاستهداف أجهزة الكمبيوتر الخاصة بالمستخدمين ، والتي لا تحتوي عمومًا على ميزات الأمان القوية التي يستخدمها مديرو كلمات المرور. كانت الأداة قادرة على فك تشفير جميع أسماء المستخدمين وكلمات المرور التي قام المستخدم بتخزينها مع KeePass. ثم تمت كتابة جميع البيانات في ملف يمكن للمتسلل الوصول إليه.

تم تصميم هذه الأداة لتسليط الضوء على مشكلة لدى جميع مديري كلمات المرور. الكمبيوتر المصاب هو جهاز كمبيوتر ضعيف. بغض النظر عن مدى جودة مدير كلمة المرور عندما يكون جهاز الكمبيوتر الخاص بالمستخدم مصابًا بفيروس أو بمشكلة أخرى ، فإن الحماية التي يقدمها المدير ستكون معرضة للخطر. يجب عليك تعزيز أمانك إذا كنت ترغب في الاستفادة من مدير كلمات المرور.

Keeper يمسك خطأ

كشف الأخطاءفي مايو 2018 ، أعلن Keeper أنهم قاموا بإصلاح الخلل الذي تم تحديده بواسطة باحث الأمان. قال الباحث ذلك قد يكون الخطأ قد سمح للأشخاص غير المصرح لهم بالوصول إلى البيانات الخاصة التابعة لمستخدم آخر.

تم إلقاء الضوء على الخطأ من خلال قائمة كشف للأمن العام. بشكل أساسي ، ذكرت القائمة أن أي فرد يتحكم في خادم API الخاص بالشركة يمكنه نظريًا الوصول إلى مفتاح فك التشفير إلى قبو كلمات المرور الخاصة بأي مستخدم. تم تضمين مصدر المشكلة في Keeper Commander ، وهو برنامج نصي مدعوم من بيثون يتيح للمستخدمين تدوير كلمات المرور.

منذ ذلك الحين تم التخلص من علة Keeper.

نتائج TeamSIK

في فبراير من عام 2017 ، نشر الباحثون العاملون في معهد فراونهوفر لتكنولوجيا المعلومات الآمنة نتائجهم بعد مراجعة مديري كلمات المرور التسعة الأكثر استخدامًا. النتائج كانت غير مطمئنة.

شعار فريق سيكووصف الباحثون ، المعروفون باسم TeamSIK ، النتائج التي توصلوا إليها بأنها "مقلقة للغاية". وقد أكدوا أن هذه الشركات "تسيء إلى ثقة المستخدمين وتعرضهم لمخاطر عالية".

مديرو كلمات المرور الذين تم تضمينهم في المراجعة هم 1Password و Avast Passwords و Hide Pictures Keep Safe Vault و Dashlane و F-Secure KEY و Keeper و LastPass و Informaticore Password Manager و My Passwords.

كان لكل مدير في المراجعة عيب أمني واحد على الأقل. أبلغ الباحثون كل شركة من الشركات بالنتائج التي توصلوا إليها ، وتمت معالجة مشاكل الحركة بسرعة. ومع ذلك ، لا يبدو أنه كان ينبغي على كل شركة إدراك وتصحيح هذه المشكلات دون الحاجة إلى مصدر خارجي لإقناعهم باتخاذ إجراء?

في أعقاب, تم تشجيع المستخدمين على التأكد من ترقيتهم واستخدام أحدث إصدارات برنامج مدير كلمات المرور بحيث كانوا يحصلون على الفائدة الكاملة لتدابير الأمان التي تمت ترقيتها.

فيما يلي بعض التفاصيل / التقارير المحددة. للحصول على تفاصيل محددة ، يرجى فتح كل تقرير.

MyPasswords 

  • قراءة البيانات الخاصة بكلمات المرور الخاصة بي التطبيق
  • ماجستير فك تشفير كلمات المرور الخاصة بي التطبيقات
  • ميزات بريميوم مجانية فتح كلمات المرور الخاصة بي

Informaticore كلمة السر مدير 

  • تخزين بيانات الاعتماد غير الآمن في Mirsoft Password Manager

لاست باس كلمة السر مدير 

  • مفتاح Hardcoded الرئيسي في LastPass Password Manager
  • الخصوصية ، تسرب البيانات في بحث متصفح LastPass
  • قراءة التاريخ الخاص (كلمة رئيسية مخزنة) من LastPass Password Manager

حارس Passwort مدير 

  • حارس أمن كلمة المرور مدير سؤال تجاوز
  • Keeper Password Manager حقن البيانات بدون كلمة مرور رئيسية

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Insecure تخزين بيانات الاعتماد

مدير كلمات Dashlane 

  • قراءة البيانات الخاصة من مجلد التطبيق في Dashlane Password Manager
  • جوجل تسرب معلومات البحث في متصفح Dashlane Password Manager
  • هجوم بقايا استخراج Masterpassword من Dashlane Password Manager
  • تسرب كلمة مرور النطاق الفرعي في متصفح Dashlane Password Manager الداخلي

إخفاء الصور حافظ على خزنة آمنة 

  • SKeepsafe Plaintext Password Storage

كلمات مرور أفاست 

  • كلمة السر التطبيق سرقة من مدير كلمة المرور أفاست
  • سرقة كلمة المرور عن طريق الموقع المخادع من Avast Password Manager
  • عناوين URL الافتراضية غير الآمنة للمواقع الشائعة في Avast Password Manager
  • تسرب كلمة مرور النطاق الفرعي في Avast Password Manager
  • تنفيذ الاتصالات الآمنة المقطوعة في Avast Password Manager
  • عناوين URL للاختبار الداخلي في Avast Password Manager

1Password - مدير كلمة المرور 

  • تسرب كلمة المرور في النطاق الفرعي 1Password Browser داخلي
  • Https الرجوع إلى URL http بشكل افتراضي في 1Password Internal Browser
  • العناوين وعناوين المواقع غير المشفرة في 1Password قاعدة البيانات
  • قراءة البيانات الخاصة من مجلد التطبيق في 1Password Manager
  • مسألة الخصوصية ، معلومات متسربة إلى مدير 1Password البائع

أنواع الخروقات الأمنية

والحقيقة هي أن جميع مديري كلمات المرور الرئيسية تعرضوا لانتهاكات أمنية خطيرة في وقت واحد أو آخر. حتى لو قاموا بتصحيح المشكلات عند كشفها ، يبدو أن المخططات الجديدة تسير دائمًا. هذه بعض الانتهاكات الأمنية التي يتعرض لها مديرو كلمات المرور.

الخداع - سمعت معظم الناس عن مخططات التصيد. إنها تتضمن رسالة بريد إلكتروني أو رسالة نصية تم إرسالها من قِبل كيان أو فرد محترم. الهدف من ذلك هو جعل الضحية المطمئنة تكشف عن بيانات حساسة مثل أرقام الحسابات المصرفية وأرقام بطاقات الائتمان وأرقام الضمان الاجتماعي بغرض الاحتيال على المستلم.

تدفق هجوم التصيد

تم استخدام الخداع للاحتيال على عملاء إدارة كلمات المرور. في هذا المخطط ، يُطلب من العملاء تسجيل الدخول إلى موقع ويب بسبب انتهاء الجلسة. عندما يفعلون ذلك ، فإن موقع ويب للتصيد المتشابه والمربك يكون في الحقيقة هو المكان الذي يقومون فيه بإدخال بياناتهم الخاصة. قدم المستخدم فقط عن طيب خاطر كلمة مرور سرية لأحد المتسللين.

تزوير عبر الموقع - غالبًا ما يشار إليها باسم CSRF ، يحيل هذا المخطط الأشخاص إلى اتخاذ إجراءات غير مقصودة عبر الإنترنت. يتم استخدامه على المستخدمين الذين تمت مصادقتهم في أحد تطبيقات الويب. غالبًا ما يرسل الطرف الشنيع رابطًا عبر البريد الإلكتروني لحث الضحية على تحويل الأموال أو اتخاذ إجراءات ضارة أخرى.

عبر موقع البرمجة - المعروف باسم XSS ، يتضمن هذا الهجوم إدخال تعليمات برمجية ضارة في مواقع الويب المعروفة والموثوقة.

هجمات القوة الغاشمة - يتضمن خرق الأمان هذا برمجيات آلية تحاول مجموعات متعددة حتى تصل إلى منجم ذهب للبيانات ، مثل خادم مدير كلمات المرور.

كلمة السر autofilميزة عدم الملء التلقائي للملء - يعد استخدام ميزة الملء التلقائي على متصفح الويب أو مدير كلمات المرور أمرًا مغرًا لأنه يبدو أنه يجعل كل شيء أسهل كثيرًا. في الواقع ، فأنت فقط تسهل الأمور على مجرمي الإنترنت في جميع أنحاء العالم. إنه يستخدم حتى من قبل المعلنين.

تخزين كلمة السر الرئيسية في نص عادي - لإثبات أن مديري كلمة المرور ليسوا بالضرورة أفضل حراس بوابة لبياناتك الحساسة ، كشف مشروع بحثي واحد عن حقيقة أن بعض مديري كلمة المرور كانوا يخزنون كلمات المرور الرئيسية للعميل في نص عادي دون أي تشفير على الإطلاق.

رمز التطبيق الذي يحتوي على مفاتيح التشفير - في جوهرها ، تكشف الشفرة الخاصة بالتطبيق مفاتيح التشفير داخل الكود نفسه. إنه يوم ميداني للمتسللين عند اكتشاف هذه الثغرة الأمنية.

استنشاق الحافظة أو الاختطاف - يسمح هذا الخرق للمجرمين بالحصول على بيانات الاعتماد التي تم نسخها في ذاكرة الكمبيوتر الشخصي بحيث يمكن لصقها في واجهة لإدخال كلمة المرور.

المدمج في العيوب متصفح الويب - بعض مديري كلمات المرور هم أيضًا متصفحات ، والتي من المفترض أن تجعل استخدامهم أكثر أمانًا عبر الإنترنت. ومع ذلك ، مع وجود مدير كلمات مرور غير كامل - كلهم ​​، تتضاعف إمكانية حدوث العيوب.

هجوم بقايا البيانات - لا يزيل المستخدمون الذين يقومون بحذف التطبيقات من أجهزتهم بالضرورة جميع آثارها. بعض المتسللين يهاجمون "البقايا" التي لا تزال قائمة. فقط تدابير أمنية قوية حقا تبقي فعلا المجرمين.

هجمات الإنترنت من قبل المطلعينالقرصنة الداخلية - لا تفترض أنك آمن لمجرد أنك تستخدم كمبيوتر الشركة. بعض الخارقة هي وظيفة داخلية يرتكبها زميل. هذا صحيح تمامًا في مكاتب مديري كلمة المرور. كيف يمكنك أن تعرف أنك تثق في موظفي مزودك?

تسرب المعلومات من خلال مبادلة الذاكرة - تحتوي معظم أجهزة الكمبيوتر على ذاكرة رئيسية وتخزين ثانوي. تحصل كل عملية ينفذها الكمبيوتر على نفس مقدار الذاكرة التي يطلبها. يتم تخزين العملية النشطة في الذاكرة الرئيسية. يتم دفع العمليات الخاملة إلى التخزين الثانوي. عندما تبدأ عملية معينة في تناول الكثير من الذاكرة ، يتم دفع المزيد من العناصر إلى وحدة التخزين الثانوية. تدهور أداء النظام ، وقد لا يعني إنهاء عملية التسريب أن العمليات التي تم دفعها إلى وحدة التخزين الثانوية يتم استبدالها على الفور. أي شيء تم الاستعانة بمصادر خارجية للتخزين الثانوي قد يكون عرضة للهجوم.

ماذا يحمل المستقبل?

كما لوحظ ، قام مديرو كلمات المرور التسعة الأكثر شهرة منذ ذلك الحين بإصلاح كل هذه المشكلات. ومع ذلك ، ما هي المشاكل الأخرى التي قد تكون كامنة؟ كان من المفترض أن تكون بعض نقاط الضعف التي كشف عنها TeamSIK واضحة تمامًا ، ولكن لم تكن أي من هذه الشركات على علم بها. استغرق الأمر طرفًا ثالثًا مستقلًا للكشف عن هذه القضايا وإلقاء الضوء عليها. هل تستطيع حقًا الوثوق بمدير كلمة المرور باستخدام أكثر بياناتك حساسية?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me