محققان آسیب پذیری های مدیران رمز عبور را آشکار می کنند

تحقیقات جدید نشان می دهد که برخی از مدیران رمز عبور تجاری ممکن است در برابر حمله سایبری توسط برنامه های جعلی آسیب پذیر باشند.

کارشناسان امنیتی استفاده از رمزعبور پیچیده ، تصادفی و منحصر به فرد برای هر حساب آنلاین را توصیه می کنند ، اما به خاطر سپردن همه آنها کاری دشوار است. اینجاست که مدیران رمزعبور مفید هستند.

طاق های رمزگذاری شده که به یک رمز عبور اصلی یا PIN دسترسی دارند ، اعتبار آنها را برای کاربر ذخیره و تکمیل می کنند و توسط مرکز امنیت سایبری ملی انگلیس به شدت توصیه می شوند.

با این حال ، محققان دانشگاه یورک نشان داده اند که برخی از مدیران رمز عبور تجاری ممکن است راهی مطمئن برای اطمینان از امنیت سایبری نباشند .

آنها پس از ایجاد یک برنامه مخرب برای جعل یک برنامه قانونی Google ، آنها توانستند از هر پنج مدیر رمز عبور مورد آزمایش خود برای دادن رمز عبور ، دو نفر را فریب دهند.

تیم تحقیقاتی دریافتند که برخی از مدیران رمز عبور از معیارهای ضعیفی برای شناسایی یک برنامه استفاده کرده اند و نام کاربری و رمزعبور را برای تکمیل خودکار ارائه می دهند. این ضعف به محققان اجازه می دهد تا با ایجاد یک برنامه سرکش با یک نام یکسان ، یک برنامه قانونی را جعل کنند.

نویسنده ارشد این مطالعه ، دکتر سیامک شهندشتی از گروه علوم کامپیوتر در دانشگاه یورک ، اظهار داشت: آسیب پذیری در مدیران رمز عبور فرصت هایی را برای هکرها برای استخراج اعتبار ، به خطر انداختن اطلاعات تجاری یا نقض اطلاعات مربوط به کارمندان فراهم می کند ، زیرا آنها دروازه بان هستند. بسیاری از اطلاعات حساس ، تحلیل دقیق امنیتی مدیران رمز عبور بسیار مهم است.

"مطالعه ما نشان می دهد که حمله فیشینگ از طریق یک برنامه مخرب بسیار امکان پذیر است. اگر قربانی در نصب یک برنامه مخرب فریب خورد ، می تواند خود را به عنوان گزینه قانونی در فوکوس اتومبیل معرفی کند و شانس موفقیت بالایی دارد."

"با توجه به آسیب پذیری های برخی از مدیران رمز عبور تجاری که مطالعه ما در معرض آن قرار گرفته است ، ما پیشنهاد می کنیم که آنها باید معیارهای تطابق سخت تری را اعمال کنند که صرفاً بر اساس نام بسته پیشنهادی یک برنامه مبتنی نیست."

محققان همچنین دریافتند که برخی از مدیران رمز عبور محدودیتی در تعداد دفعات ورود پین یا رمز عبور اصلی ندارند. این بدان معناست که اگر هکرها به دستگاه شخصی دسترسی داشته باشند ، می توانند یک حمله "نیروی بی رحمانه" را انجام دهند ، و در حدود 2.5 ساعت یک پین چهار رقمی را حدس بزنید.

علاوه بر این آسیب پذیری های جدید ، محققان همچنین لیستی از آسیب پذیری های قبلی را آشکار کرده اند که در یک مطالعه قبلی مشخص شده اند و آزمایش کرده اند که آیا آنها برطرف شده اند. آنها دریافتند که در حالی که جدی ترین این مسائل برطرف شده است ، بسیاری از آنها مورد توجه قرار نگرفته اند.

محققان این آسیب پذیری ها را برای مدیران رمز عبور افشا کردند.

مایکل کار ، نویسنده اصلی این تحقیق ، که ضمن مطالعه برای کارشناسی ارشد خود در زمینه امنیت سایبر در گروه علوم کامپیوتر ، دانشگاه یورک ، این تحقیق را انجام داده است ، اظهار داشت: "آسیب پذیری های جدید با آزمایش گسترده پیدا شد و با مسئولیت پذیری برای فروشندگان فاش شد. بعضی از آنها بلافاصله برطرف شدند در حالی که برخی دیگر دارای اولویت پایین بودند.

وی ادامه داد: تحقیقات بیشتری برای ایجاد الگوهای امنیتی دقیق برای مدیران رمز عبور لازم است ، اما ما هنوز هم به افراد و شرکت ها توصیه می کنیم از آنها استفاده کنند زیرا آنها گزینه ای مطمئن تر و قابل استفاده تر هستند. به اطلاعات ذخیره شده دسترسی پیدا کنید. "