Tarafından. Jill Scharr

Yeni araştırmaya göre, dördü yamalanmış beş popüler şifre yöneticisinin bir dizi güvenlik açığı vardı.

Sık kullanılan beş Web tabanlı şifre yöneticisinde birden çok güvenlik açığı keşfedildi: LastPass, RoboForm, My1Login, PasswordBox ve NeedMyPassword. Keşfedilen kusurların çoğu zaten düzeltildi, ancak yine de onları keşfeden araştırmacılar saldırıları "şiddetli" olarak nitelendirdiler.

Kusurlar, tek seferlik şifreler, yer imleri (tarayıcılarda kullanılan komut dosyaları) ve şifre paylaşımı gibi çeşitli nedenlerden kaynaklanır ve bunları keşfeden araştırmacıların Araştırma makalelerine şu sorunları açıklayan bir "Gurur ve Önyargı" referansı bırakın: "Web'de parola tabanlı kimlik doğrulamanın, evrensel olarak kabul edilen bir gerçektir. güvensiz." 

DAHA: En İyi Antivirüs Yazılımı 2014

Araştırmacıların bulgularının en önemlisi, incelenen beş şifre yöneticisinden dördünde saldırganların çeşitli web siteleri için kullanıcıların şifrelerini bulabilmesiydi.

LastPass, RoboForm, My1Login ve PDasswordBox'ta bulunan kusurların tümü düzeltildi ve araştırmacılar, bu şirketlerin sorunlar hakkında iletişime geçildikten sonraki bir hafta içinde yanıt verdiğini söylüyor. Ancak NeedMyPassword, araştırmacıların orijinal mesajlarına asla yanıt vermedi ve hizmetinde bulunan kusurlar düzeltilmedi.

Kusurları açıklayan makale, California Üniversitesi, Berkeley'den dört araştırmacı tarafından ortaklaşa yazılmıştır: Zhiwei Li, Warren He, Devdatta Akhawe ve Dawn Song. "Başlıklı kağıtİmparatorun Yeni Parola Yöneticisi: Web Tabanlı Parola Yöneticilerin Güvenlik Analizi, "bu Ağustos'ta San Diego'daki USENIX Güvenlik konferansında sunulacak.

LastPass, Li'nin makaleyi bitirip yayınlamasına izin vermek için şimdiye kadar kendi kusurlarını ifşa etmeyi beklediğini söylüyor.

Dört araştırmacı, şifre yöneticilerindeki güvenlik açıklarının tespitini otomatikleştirmek için bir araç oluşturacaklarını söyledi. Ayrıca, kendi başlarına "yapıya göre güvenli" olacak yeni bir şifre yöneticisi oluşturmayı planlıyorlar.

LastPass yanıt verir

LastPass, araştırmaya hafta sonu, Web tabanlı yazılımındaki kusurların zaten düzeltildiğini söyleyerek yanıt verdi. Şirket, kusurların başlangıçta küçük olduğunu iddia etti.

LastPass, öğrendikten "hemen sonra" kendisiyle ilgili iki kusuru ele aldığını söyledi. geçen Ağustos ve saldırganların bu kusurları daha önce vahşi doğada kullandığına dair hiçbir kanıt yok. yamalı.

"Güvenilir olmayan sitelerde Eylül 2013'ten önce yer imleri kullandığınız konusunda endişeleriniz varsa, şunları düşünebilirsiniz: Ana parolanızı değiştirmek ve yeni parolalar oluşturmak, ancak bunun gerekli olduğunu düşünmüyoruz, "dedi LastPass konuyla ilgili blog yazısı.

LastPass, bir yer imi kusuru olan ilk LastPass kusurunun, yalnızca bir LastPass kullanıcısı, kusuru hedeflemek için özel olarak hazırlanmış kod içeren kötü amaçlı bir web sitesini ziyaret ettiğinde yararlanılabileceğini söyledi.

Yer imleri, yalnızca mobil tarayıcılar gibi normal LastPass eklentisinin uyumlu olmadığı bağlamlarda kullanılan komut dosyalarıdır. LastPass, kullanıcılarının yüzde 1'inden daha azının düzenli olarak yer imleri kullandığını söylüyor.

LastPass'in Tek Kullanımlık Parola özelliğindeki diğer kusur, yalnızca saldırgan hedeflenen tek bir LastPass kullanıcısının soyadını biliyorsa kullanılabilir.

LastPass blog gönderisinde "Saldırgan, kullanıcı verilerinin şifresini çözmek için hala anahtara sahip olmayacak" dedi.

LastPass kullanıcıları, kullanıcıların durumlarını kontrol edebilir. Hizmetin web sitesinde Tek Kullanımlık Parolalar.

  • Şu Anda Piyasadaki En İyi Akıllı Telefonlar
  • Verilerinizi Güvende Tutmak için 5 Temel iPhone Güvenlik İpucu
  • En İyi Android Antivirüs Yazılımı 2014

Eposta [email protected] veya onu takip et @Hayalhanemersin ve Google+. Bizi takip et @Filmdenkare, üzerinde Facebook ve üzerinde Google+.

Flaş haberlere, en yeni incelemelere, harika fırsatlara ve faydalı ipuçlarına anında erişin.

Tom's Guide'a kaydolduğunuz için teşekkür ederiz. Kısa süre içinde bir doğrulama e-postası alacaksınız.

Bir problem vardı. Lütfen sayfayı yenileyin ve tekrar deneyin.

Spam yok, söz veriyoruz. İstediğiniz zaman aboneliğinizi iptal edebilirsiniz ve izniniz olmadan bilgilerinizi asla paylaşmayız.