برنامههای حفاظت از رمز عبور برای نگهداری ایمن رمزهای عبور ما طراحی شدهاند البته به شرطی که که خود این برنامهها در مقابل هکرها ایمن باشند! این موضوع مارا به یاد مثلی معروف می اندازد : وای به روزی که بگندد نمک …
تکنـــــــــــــازدانلود: پژوهشگران امنیت آنلاین دریافتهاند که پنج برنامه مدیریت رمز عبور محبوب، خود چندان ایمن نیستند و ممکن است اطلاعات و رمزهای عبور ذخیره شده ما در این برنامهها در دسترس هکرها قرار گیرد. پژوهشگران دانشگاه برکلی در کالیفرنیا با آنچه به صدا در آوردن زنگ خطر برای برنامه نویسان و توسعه دهندگان برنامههای مدیریت رمز عبور نامیدهاند، اعلام کردهاند که پنج برنامه محبوب مدیریت رمز عبور دارای آسیب پذیری بحرانی هستند و میتوانند به هکرها امکان دهند به اطلاعات کاربران ذخیره شده در آنها دسترسی پیدا کنند.
این برنامه ها عبارتند از:
LastPass
RoboForm
My1Login
PasswordBox
NeedMyPassword
به گزارش ریجیستر بنا بر آنچه پژوهشگران دانشگاه برکلی اعلام کردهاند، بررسیهای آنها نشان میدهد که در چهار سرویس از این پنج سرویس، هکر میتواند به نام کاربری و رمز عبور سایتهای دلخواه کاربران دسترسی پیدا کند.
محققانی از دانشگاه برکلی کالیفرنیا به نامهای Warren He ،Dawn Song ،Devdatta Akhawe و Zhiwei Li پژوهشی را پیرامون امنیت نرمافزارهای مدیریت گذرواژه انجام دادهاند که در نهایت آسیبپذیریهای خطرناکی را در این ۵ نرمافزار مدیریت گذرواژه کشف کردهاند.
پژوهشگران توانستند آسیب پذیریها را در قابلیتهای مختلفی این برنامهها همچون «یک بار رمز عبور»، «برجسته سازیها» و «به اشتراک گذاری رمز عبور» شناسایی کنند. آنها همچنین دریافتند ریشه و علت این آسیب پذیریها هم متفاوت و متنوع است. این علتها طیفی از اشتباهات دسترسی و منطقی تا درک نادرست از مدل امنیتی وبسایت را شامل میشوند. به اینها باید آسیب پذیریهای معمول همچون درخواست سایت متقابل جعلی CSRF و برنامه نویسی سایت متقابل XSS را هم اضافه کرد.
برای نمونه یک آسیبپذیری در برنامه مدیریت رمز عبور LastPass میتواند موجب شود یک درصد از کاربران در خطر سرقت نام کاربری و رمز عبور حساب بانکی خود قرار گیرند چون با جعل آدرس وبسایت بانک، کاربر به خطا اطلاعات خود را وارد وبسایت قلابی میکند.
آسیب پذیری CSRF نیز میتواند روی قابلیت «یک بار رمز عبور» برنامه LastPass تاثیر بگذارد. این آسیب پذیری ممکن است به هکرها امکان دهد دریابند چه اپلیکیشنها و دستگاههایی از این برنامه مدیریت رمز عبور استفاده میکنند و سپس کل کیف رمزگذاری شده اطلاعات کاربر را از برنامه به سرقت ببرند و سابقه آن را هم از برنامه پاک کنند.
آسیبپذیری XSS موجود در نرمافزار NeedMyPassword ممکن است در نهایت برای مهاجم امکان کنترل کامل حساب کاربری قربانی را فراهم کند، اما آسیبپذیریهای LastPass و RoboForm، امکان بهروزسانی، حذف، و اضافه کردن شناسهها و گذرواژههای مخرب را در حساب کاربری قربانی برای مهاحم ایجاد میکنند.
هدف این پژوهش هشدار به برنامه نویسان برای رفع ایرادهای امنیتی برنامهها و به کاربران برای احتیاط بهتر در استفاده از این برنامهها است.
توصیه ITSN به کاربران این است که تا حد امکان از نسخه ای تحت وب این نرم افزارها استفاده نکنند و به سراغ نسخه های قابل نصب بروی سیستم عامل ها بروند.