การศึกษาเกี่ยวกับ Password Manager แสดงให้เห็นว่ารหัสผ่านอาจถูกโจมตีโดยผู้โจมตี

• หมวดหมู่: ความปลอดภัย

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

การใช้ตัวจัดการรหัสผ่านเป็นหนึ่งในไม่กี่ตัวเลือกที่คุณต้องแน่ใจว่าจะรักษาความปลอดภัยของบัญชีออนไลน์ทั้งหมดของคุณด้วยความปลอดภัยและไม่สามารถคาดเดารหัสผ่านได้

เหตุผลหลักคือผู้ใช้อินเทอร์เน็ตส่วนใหญ่พบว่าไม่สามารถจำรหัสผ่านที่ปลอดภัยสำหรับบริการเว็บหลายสิบหรือหลายร้อยรายการได้เว้นแต่จะใช้กฎพื้นฐานง่ายๆหรือใช้รหัสผ่านเดิมซ้ำ ๆ

แม้ว่าเว็บเบราว์เซอร์เช่น Firefox หรือ Google Chrome จะมีตัวจัดการรหัสผ่านมากมาย แต่ก็มักจะเลือกตัวจัดการรหัสผ่านที่นำเสนอคุณลักษณะที่คุณต้องการ

การรักษาความปลอดภัยที่แท้จริงของตัวจัดการรหัสผ่านวิธีจัดการรหัสผ่านเมื่อส่งไปยังเซิร์ฟเวอร์และเมื่อไม่เป็นเช่นนั้นจะไม่โปร่งใสเกือบตลอดเวลา

การศึกษาล่าสุด 'ผู้จัดการรหัสผ่านที่เปิดเผยรหัสผ่านทุกที่' โดย Marc Blanchou และ Paul Youn จาก Isecpartners วิเคราะห์ว่าผู้จัดการรหัสผ่านที่ใช้เบราว์เซอร์โต้ตอบกับเว็บไซต์อย่างไรเมื่อเปิดใช้งาน

นักวิจัยได้ตรวจสอบ LastPass, IPassword และ MaskMe สำหรับ Chrome และ Firefox และ OneLastPass สำหรับ Chrome โดยเฉพาะอย่างยิ่งพวกเขาดูว่าผู้จัดการรหัสผ่านเหล่านั้นกรอกข้อมูลรหัสผ่านเมื่อใดและอย่างไร

ผลลัพธ์อาจสร้างความประหลาดใจให้กับผู้ใช้โปรแกรมจัดการรหัสผ่าน แต่ทั้งสี่โปรแกรมที่ตรวจสอบพบว่ามีการทำงานผิดปกติไม่ทางใดก็ทางหนึ่ง

HTTP เทียบกับ HTTPS : ตัวจัดการรหัสผ่าน MaskMe ไม่แยกความแตกต่างระหว่างโครงร่าง HTTP และ HTTPS ซึ่งหมายความว่าจะกรอกแบบฟอร์มรหัสผ่านโดยไม่คำนึงถึงรูปแบบ สิ่งนี้สามารถใช้ประโยชน์จากการโจมตีแบบคนตรงกลางได้เช่น

ผู้โจมตีที่เป็นคนกลางพูดบนเครือข่ายไร้สายสาธารณะสามารถเปลี่ยนเส้นทางเหยื่อไปยังเว็บไซต์ยอดนิยมเวอร์ชัน HTTP ปลอมด้วยแบบฟอร์มการเข้าสู่ระบบและ JavaScript ที่ส่งอัตโนมัติหลังจากที่ MaskMe กรอกข้อมูลโดยอัตโนมัติ ใครก็ตามที่ใช้ MaskMe ที่เปิดใช้งานการเติมอัตโนมัติ (นี่เป็นพฤติกรรมเริ่มต้น) อาจถูกขโมยรหัสผ่านได้อย่างรวดเร็วเพียงแค่เชื่อมต่อกับจุดเชื่อมต่อที่เป็นอันตรายและเหยื่อจะไม่มีทางรู้

การส่งรหัสผ่านข้ามต้นทาง : LastPass, OneLastPass และ MaskMe ถูกพบว่าส่งรหัสผ่านที่มีต้นกำเนิด หมายความว่าอย่างไรก็คือผู้จัดการรหัสผ่านที่ได้รับผลกระทบจะกรอกและส่งข้อมูลการตรวจสอบสิทธิ์บนไซต์แม้ว่าที่อยู่ที่ส่งข้อมูลจะแตกต่างจากไซต์ที่ผู้ใช้อยู่

ไม่สนใจโดเมนย่อย: ผู้จัดการรหัสผ่านทั้งสี่จัดการโดเมนย่อยเท่ากับโดเมนราก ซึ่งหมายความว่าข้อมูลการเข้าสู่ระบบจะถูกกรอกในโดเมนราก แต่ยังอยู่ในโดเมนย่อยทั้งหมดของชื่อโดเมนเดียวกัน

หน้าเข้าสู่ระบบ : ผู้จัดการรหัสผ่านทั้งหมดที่ตรวจสอบในการศึกษาไม่ได้ จำกัด กิจกรรมของตนไว้ที่หน้าเข้าสู่ระบบที่ผู้ใช้เคยใช้ก่อนหน้านี้ หากมีการบันทึกการเข้าสู่ระบบสำหรับชื่อโดเมนแบบฟอร์มการเข้าสู่ระบบทั้งหมดบนชื่อโดเมนนั้นจะได้รับการจัดการเช่นนั้นไม่ว่าจะถูกใช้มาก่อนหรือไม่ก็ตาม

แนวทางปฏิบัติเหล่านี้บางส่วนจัดการด้วยวิธีนี้เพื่อความสะดวกอาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยงเนื่องจากผู้โจมตีอาจใช้ปัญหาเหล่านี้เพื่อขโมยข้อมูลรหัสผ่าน

นักวิจัยแนะนำว่าผู้ใช้อย่าใช้ประโยชน์จากฟังก์ชันการป้อนอัตโนมัติและการเข้าสู่ระบบอัตโนมัติที่ผู้จัดการรหัสผ่านบางรายเสนอ บริษัท ทั้งหมดได้รับทราบเกี่ยวกับผลการดำเนินการ