Birkaç şifre yöneticisi, hem yeni hem de daha önce açıklanmış ancak hiçbir zaman düzeltilmemiş güvenlik açıkları içerir. York Üniversitesi‘nden araştırmacılara göre, birkaç popüler şifre yöneticisi, şifrelerinizi güvende tutması gereken duvarları ihlal etmek için kullanılabilecek güvenlik açıkları içeriyor.
19 şifre yöneticisinin bir havuzunu düşündükten sonra, akademisyenler popülerliklerine ve özelliklerine göre LastPass, Dashlane, Keeper, 1Password ve RoboForm’u test etmeyi seçti. Hem 1Password hem de LastPass Android uygulamalarındaki kimlik avı saldırılarına açık hale getiren bir kusur da dahil olmak üzere toplam dört yeni güvenlik açığını ortaya çıkardılar. Güvenlik açığı, otomatik doldurma için depolanan kimlik bilgilerinden hangisinin önerilmesi gerektiğini belirlemek için zayıf eşleşme ölçütlerinin kullanılmasından kaynaklanır.
Şifre Yönetici Kusurlarını Göstermek İçin Çalışmak
“Çalışmamız, kötü niyetli bir uygulamadan gelen kimlik avı
saldırısının oldukça mümkün olduğunu gösteriyor – bir mağdur kötü amaçlı bir
uygulama yüklemeye kandırılırsa, otomatik doldurma isteminde meşru bir seçenek
olarak kendini gösterebilecek ve yüksek başarı şansına sahip olacak” York
Üniversitesi Bilgisayar Bilimleri Bölümü’nden Dr.Siamak Shahandashti söyledi.
Durumu düzeltmek için şifre kasalarının yalnızca “bir uygulamanın iddia
edilen paket adına” dayanmayan daha katı eşleşme ölçütleri eklemesi
gerektiğini de ekledi.
Araştırmacılar ayrıca RoboForm ve Dashlane’nin Android
uygulamalarının PIN kaba kuvvet saldırılarına duyarlı olduğunu keşfettiler. Bu
kusur, şifre PIN’lerinin kilidini açabilecek ana PIN kodunu girmeye yönelik
sonsuz denemelere izin verir.
“Manuel testlerin ekstrapolasyonu yoluyla, manuel olarak rastgele bir tahmin saldırısının bile ortalama olarak 2.5 saat içinde rastgele seçilmiş bir PIN bulması bekleniyor,” diye açıkladı araştırmacılar, ek değişkenlerdeki faktoringin gereken süreyi önemli ölçüde azaltabileceğini ekledi.
Araçların ilgili satıcıları yeni keşfedilen güvenlik
açıkları hakkında gerektiği şekilde bilgilendirildi. Çalışmanın baş yazarı
Michael Carr “Bazıları derhal düzeltildi, diğerleri düşük öncelikli sayıldı”
dedi.
Buna ek olarak, şifre yöneticileri, güvenlik açıklarının
takılı olup olmadığını görmek için daha önce açıklanan altı güvenlik açığına
karşı sıkı bir teste tabi tutuldu. Test, şifre yöneticilerinden biri dışındaki
herkesin URL uyumsuzluğuna açık olduğunu ve hepsinin Alt Alanları ve HTTP (S)
Otomatik Doldurma açıklarını yoksaymaya karşı savunmasız olduğunu gösterdi.
Dashlane, daha önce açıklanan altı güvenlik açığından beşine karşı savunmasız
olduğu için en kötüsünü yaptı.
Her ne kadar ekip “şifre yöneticileri için sıkı güvenlik
modelleri ve kanonik güvenlik testleri” gerektiğine itiraf etse de, şifre geri
dönüştürme veya kullanmaya çalışmaktan daha güvenli ve kullanışlı bir seçenek
olmaya devam ettikleri için yine de işletmelere ve bireylere kullanılmasını
tavsiye ediyorlar. hepsini ezberle.
İnsanlar, verilerini korumak için parola seçerken şüpheli seçimler yapmaya devam ettikleri için, “12345” ve benzer şekilde hacklenmesi kolay parolaların birçok netizen(ağ vatandaşı yani internette sürekli aktif olanlar) için popüler seçimler olmaya devam ettiği gerçeği ile kanıtlanabilir.