„Password Manager“ tyrimas rodo, kad užpuolikai gali susidurti su slaptažodžiais
- Kategorija: Saugumas
Slaptažodžių tvarkytuvės naudojimas yra viena iš nedaugelio parinkčių, kurias turite įsitikinti, kad visas savo internetines paskyras norite apsaugoti saugiais, neįmanoma atspėti slaptažodžiais.
Pagrindinė to priežastis yra ta, kad daugumai interneto vartotojų neįmanoma atsiminti saugių slaptažodžių dešimtims ar net šimtams interneto paslaugų, nebent jie naudojasi paprastomis pagrindinėmis taisyklėmis arba pakartotinai naudoja tą patį slaptažodį.
Nors žiniatinklio naršyklėse, tokiose kaip „Firefox“ ar „Google Chrome“, galima rasti daugybę slaptažodžių tvarkytuvių, tačiau dažniausiai reikia pasirinkti slaptažodžių tvarkyklę, siūlančią jums reikalingas funkcijas.
Faktinis slaptažodžių tvarkytuvo saugumas, kaip jis tvarko slaptažodžius, kai siunčia juos į serverius, o kada ne, iš tikrųjų nėra daugiausiai skaidrus.
Neseniai atliktas Marc Blanchou ir Paul Youngo tyrimas „Slaptažodžių tvarkytojai, kur visur slepiasi slaptažodžiai“ Savarankiški dalyviai išanalizavo, kaip naršyklės slaptažodžių tvarkytojai sąveikauja su svetainėmis, kai jos suaktyvinamos.
Tyrėjai ištyrė „LastPass“, „IPassword“ ir „MaskMe“, skirtus „Chrome“ ir „Firefox“, ir „OneLastPass“, skirtus „Chrome“. Tiksliau, jie žiūrėjo, kada ir kaip tie slaptažodžių tvarkytojai užpildė slaptažodžių informaciją.
Rezultatas gali nustebinti slaptažodžių tvarkytojų vartotojus, tačiau visos keturios patikrintos programos vienaip ar kitaip veikia netinkamai.
HTTP vs HTTPS : „MaskMe“ slaptažodžių tvarkyklė neišskiria HTTP ir HTTPS schemų, tai reiškia, kad ji užpildys slaptažodžio formą, nepriklausomai nuo schemos. Tai gali būti panaudota, pavyzdžiui, per vidurį vykstančias atakas.
Viduryje esantis užpuolikas, tarkime, viešajame bevieliame tinkle, gali tiesiog nukreipti aukas į netikras populiarių svetainių HTTP versijas su prisijungimo formomis ir „JavaScript“, kurias automatiškai pateikia po to, kai jas automatiškai užpildo „MaskMe“. Kiekvienas, naudojantis „MaskMe“ su įjungtu automatiniu užpildymu (tai yra numatytasis elgesys), gali labai greitai pavogti savo slaptažodžius tiesiog prisijungdamas prie kenkėjiškos prieigos taško, o aukos niekada to nesužinotų.
Slaptažodžių pateikimas pagal kilmę : Buvo nustatyta, kad „LastPass“, „OneLastPass“ ir „MaskMe“ pateikia slaptažodžius pagal kilmę. Tai reiškia, kad paveikti slaptažodžių tvarkytojai užpildys ir išsiųs autentifikavimo informaciją svetainėse, net jei adresas, į kurį pateikiama informacija, skiriasi nuo svetainės, kurioje yra vartotojas.
Nepaisyti padomenių: Visi keturi slaptažodžių tvarkytojai tvarko padomenius, lygius pagrindiniam domenui. Tai reiškia, kad prisijungimo informacija užpildoma ne tik pagrindiniame domene, bet ir visuose to paties domeno vardo padomeniuose.
Prisijungimo puslapis : Visi tyrime nagrinėti slaptažodžių tvarkytojai neriboja savo veiklos prisijungimo puslapyje, kurį anksčiau naudojo vartotojas. Jei buvo išsaugotas domeno vardo prisijungimas, visos šio domeno vardo prisijungimo formos yra tvarkomos kaip nepriklausomos nuo to, ar jos buvo naudojamos anksčiau, ar ne.
Ši praktika, kai kurios tokiu būdu tvarkomos dėl patogumo, gali kelti pavojų vartotojams, nes užpuolikai gali naudoti šias problemas pavogti slaptažodžio informaciją.
Tyrėjai siūlo vartotojams nesinaudoti automatinio užpildymo ir automatinio prisijungimo funkcijomis, kurias siūlo kai kurie slaptažodžių tvarkytojai. Apie rezultatus buvo informuotos visos įmonės.