Дослідження менеджера паролів показує, що зловмисникам можуть піддаватися дії паролів
- Категорія: Безпека
Використання менеджера паролів - це один з небагатьох варіантів, з яким вам потрібно забезпечити безпеку всіх своїх облікових записів в Інтернеті безпечними, неможливо здогадатися паролями.
Основна причина цього полягає в тому, що більшість користувачів Інтернету вважають неможливим запам’ятовувати захищені паролі для десятків і навіть сотень веб-служб, якщо тільки вони не використовують прості основні правила або не використовують один і той же пароль кілька разів.
Хоча веб-браузери, такі як Firefox або Google Chrome, роблять доступними велику кількість менеджерів паролів, як правило, зводиться до вибору менеджера паролів, який пропонує ті функції, які вам потрібні.
Фактична безпека менеджера паролів, те, як він обробляє паролі, коли він надсилає їх на сервери, а коли ні, майже не є прозорим більшість часу.
Нещодавнє дослідження «Менеджери паролів, де викриваються паролі скрізь» Марка Бланчу та Пола Юна Isecpartners проаналізували, як менеджери паролів на основі браузера взаємодіють із веб-сайтами під час їх активації.
Дослідники дослідили LastPass, IPassword та MaskMe для Chrome та Firefox та OneLastPass для Chrome. Зокрема, вони розглядали, коли і як ці менеджери паролів заповнювали інформацію про пароль.
Результат може стати несподіванкою для користувачів менеджерів паролів, але було виявлено, що всі чотири з перевірених програм тією чи іншою мірою поводяться.
HTTP проти HTTPS : Менеджер паролів MaskMe не розрізняє схеми HTTP та HTTPS, а це означає, що він заповнить форму паролів незалежно від схеми. Це може бути використане, наприклад, атаками людини в середині.
Скажімо, зловмисний посередник, скажімо, у загальнодоступній бездротовій мережі, може просто перенаправляти жертв на підроблені версії HTTP популярних веб-сайтів із формами входу та JavaScript, які автоматично надсилаються після того, як їх автоматично заповнить MaskMe. Кожен, хто використовує MaskMe з увімкненою функцією автоматичного заповнення (така поведінка за замовчуванням), може дуже швидко вкрасти свої паролі, просто підключившись до шкідливої точки доступу, і жертви ніколи не дізнаються про це.
Подання паролів у різних джерелах : LastPass, OneLastPass і MaskMe були знайдені для подання паролів для походження акросів. Мається на увазі, що менеджери паролів, на які вони впливають, заповнюватимуть та надсилатимуть інформацію про автентифікацію на сайтах, навіть якщо адреса, на яку подається інформація, відрізняється від сайту, на якому знаходиться користувач.
Ігноруйте субдомени: Усі чотири менеджери паролів обробляють піддомени, рівні кореневому домену. Це означає, що інформація про вхід заповнюється в кореневому домені, а також на всіх субдоменах одного доменного імені.
Сторінка входу : Усі перевірені в процесі дослідження менеджери паролів не обмежують свою діяльність сторінкою входу, яку раніше використовував користувач. Якщо логін було збережено для доменного імені, усі форми входу в цьому доменному імені обробляються як такі незалежно від того, використовувалися вони раніше чи ні.
Такі практики, деякі з яких зручні для зручності, можуть загрожувати користувачам, оскільки зловмисники можуть використовувати ці проблеми для крадіжки інформації про пароль.
Дослідники припускають, що користувачі не використовують функцію автоматичного заповнення та автоматичного входу, яку пропонують деякі менеджери паролів. Усі результати були поінформовані про результати.