Meşhur Şifre Yöneticilerinde Bulunan Güvenlik Kusurları
Birkaç şifre yöneticisi, hem yeni hem de daha önce açıklanmış ancak hiçbir zaman düzeltilmemiş güvenlik açıkları içerir. York Üniversitesi‘nden araştırmacılara göre, birkaç popüler şifre yöneticisi, şifrelerinizi güvende tutması gereken duvarları ihlal etmek için kullanılabilecek güvenlik açıkları içeriyor.
19 şifre yöneticisinin bir havuzunu düşündükten sonra, akademisyenler popülerliklerine ve özelliklerine göre LastPass, Dashlane, Keeper, 1Password ve RoboForm’u test etmeyi seçti. Hem 1Password hem de LastPass Android uygulamalarındaki kimlik avı saldırılarına açık hale getiren bir kusur da dahil olmak üzere toplam dört yeni güvenlik açığını ortaya çıkardılar. Güvenlik açığı, otomatik doldurma için depolanan kimlik bilgilerinden hangisinin önerilmesi gerektiğini belirlemek için zayıf eşleşme ölçütlerinin kullanılmasından kaynaklanır.
Şifre Yönetici Kusurlarını Göstermek İçin Çalışmak
“Çalışmamız, kötü niyetli bir uygulamadan gelen kimlik avı saldırısının oldukça mümkün olduğunu gösteriyor – bir mağdur kötü amaçlı bir uygulama yüklemeye kandırılırsa, otomatik doldurma isteminde meşru bir seçenek olarak kendini gösterebilecek ve yüksek başarı şansına sahip olacak” York Üniversitesi Bilgisayar Bilimleri Bölümü’nden Dr.Siamak Shahandashti söyledi. Durumu düzeltmek için şifre kasalarının yalnızca “bir uygulamanın iddia edilen paket adına” dayanmayan daha katı eşleşme ölçütleri eklemesi gerektiğini de ekledi.
Araştırmacılar ayrıca RoboForm ve Dashlane’nin Android uygulamalarının PIN kaba kuvvet saldırılarına duyarlı olduğunu keşfettiler. Bu kusur, şifre PIN’lerinin kilidini açabilecek ana PIN kodunu girmeye yönelik sonsuz denemelere izin verir.
“Manuel testlerin ekstrapolasyonu yoluyla, manuel olarak rastgele bir tahmin saldırısının bile ortalama olarak 2.5 saat içinde rastgele seçilmiş bir PIN bulması bekleniyor,” diye açıkladı araştırmacılar, ek değişkenlerdeki faktoringin gereken süreyi önemli ölçüde azaltabileceğini ekledi.
Araçların ilgili satıcıları yeni keşfedilen güvenlik açıkları hakkında gerektiği şekilde bilgilendirildi. Çalışmanın baş yazarı Michael Carr “Bazıları derhal düzeltildi, diğerleri düşük öncelikli sayıldı” dedi.
Buna ek olarak, şifre yöneticileri, güvenlik açıklarının takılı olup olmadığını görmek için daha önce açıklanan altı güvenlik açığına karşı sıkı bir teste tabi tutuldu. Test, şifre yöneticilerinden biri dışındaki herkesin URL uyumsuzluğuna açık olduğunu ve hepsinin Alt Alanları ve HTTP (S) Otomatik Doldurma açıklarını yoksaymaya karşı savunmasız olduğunu gösterdi. Dashlane, daha önce açıklanan altı güvenlik açığından beşine karşı savunmasız olduğu için en kötüsünü yaptı.
Her ne kadar ekip “şifre yöneticileri için sıkı güvenlik modelleri ve kanonik güvenlik testleri” gerektiğine itiraf etse de, şifre geri dönüştürme veya kullanmaya çalışmaktan daha güvenli ve kullanışlı bir seçenek olmaya devam ettikleri için yine de işletmelere ve bireylere kullanılmasını tavsiye ediyorlar. hepsini ezberle.
İnsanlar, verilerini korumak için parola seçerken şüpheli seçimler yapmaya devam ettikleri için, “12345” ve benzer şekilde hacklenmesi kolay parolaların birçok netizen(ağ vatandaşı yani internette sürekli aktif olanlar) için popüler seçimler olmaya devam ettiği gerçeği ile kanıtlanabilir.
