ریسک برای کلمات عبور

bonyan 1395/12/23

ریسک برای کلمات عبور

 ریسک برای کلمات عبور

نقص های جدید در برنامه مدیریت پسورد lastpass و ریسک برای کلمات عبور
به خاطر سپردن تمامی رمزهای عبور امروزه کار بسیار مشکلی است. به همین دلیل بیشتر افراد از مدیریت پسورد استفاده می کنند. زیرا با این کار نه تنها اطلاعات ورودشان به صورت امن ذخیره میشود بلکه می توانند کلمات عبور فوق العاده امنی تولید کنند. در حالی که کمپانی های بزرگی به انجام این کار مشغولند من از lastpass استفاده می کنم. چرا؟ به دلیل اینکه lastpass با اکثر سیستم عامل های اصلی کار می کند که شامل لینوکس نیز می شود. به صورت پیش فرض کاربران زیادی از  Ubuntu, fedora , chrome os  هستند که lastpass را انتخاب می کنند چون گزینه دیگری ندارند. متاسفانه امروز مشخص شده است که این مدیریت رمز عبور در معرض خطر آسیب پذیری توسط فیشینگ قرار دارد.
Sean Cassidy جزئیاتی در این زمینه منتشر کرده است .  ( ریسک برای کلمات عبور) او معتقد است :یک حمله فیشینگ در برابر برنامه lastpass به مهاجم اجازه می دهد تا رمز عبور و حتی رمز عبور ۲ مرحله ای(2 step verification) را سرقت کند  و به تمامی رمزهای عبور و اسناد ذخیره شده در برنامه lastpass دسترسی کامل داشته باشد. او این حمله را lostpass می نامد. Lastpass با نمایش پیام هایی در مرورگر که ظاهرا حمله جعلی و غیر واقعی به نظر میرسد ، باعث میشود lostpass اتفاق بیفتد. کاربران نمی توانند تفاوت بین پیام جعلی و حقیقی را درک کنند زیرا در ظاهر تفاوتی وجود ندارد.

Cassidy  توضیح می دهد : در چند ماه قبل برنامه lastpass پیامی در مرورگر من نشان می داد که بایستی دوباره وارد سیستم شوید. زمانی که من بر روی پیغام نمایش داده شده کلیک  کردم متوجه شدم که آن چیزی که در viewport مرورگر نمایش داده می شود می تواند توسط یک مهاجم ایجاد شده باشد. پس این امر نشان دهنده نقص در طراحی lastpass است که می تواند مورد سوء استفاده قرار بگیرد. در نهایت ، lostpass سندی است بر این که چگونه می توان به راحتی کاربران را فریب داد و آنها را وادار به وارد کردن بیش از حد رمز عبور خود نمود.

نقص های جدید در  lastpass و ریسک برای کلمات عبور

Lostpass به دلایل زیر می تواند موثر هم باشد :
  1. آموزش مبارزه با lostpass به تنهایی کافی نیست بلکه مهم آموزش کاربران است تا بدانند که آنها نیز زمانی که مورد سرقت اطلاعات قرار گرفته اند خود نیز مقصر بوده اند.
  2. برنامه lastpass به صورت workflow لاگین می کند. بعضی اوقات آن را به صورت صفحه ورود و برخی اوقات آنها را به صورت پنجره های پاپ آپ نشان می دهد.(نقص های جدید در  lastpass و ریسک برای کلمات عبور)
  3. Lastpass به خوبی با سیستم عامل های مختلف کار می کند. زیرا مبتنی بر مرورگر، توسعه یافته است. به همین دلیل است که بسیاری از کاربران لینوکس آن را دوست دارند. اما بایستی توجه داشت که مدیریت رمز عبور یکی از زمینه های بسار جذاب است و همین امر می تواند باعث نا امنی آن نیز بشود.

 

بدون دیدگاه