يستخدم كثير من الناس برامج إدارة كلمات المرور لأنهم يمتلكون كلمات كثيرة ويحتاجون إلى الوصول إليها من أجهزة متعددة. تخزن خزائن هذه الخدمات معلومات حساسة مثل بيانات الدخول للحسابات المصرفية وبطاقات الائتمان داخل مخازن مشفّرة.
قام باحثون من مجموعة التشفير التطبيقية في ETH Zurich بدراسة ثلاثة مديري كلمات مرور سحابيين: Bitwarden وLastpass وDashlane. ضمّ الفريق Matilda Backendal وMatteo Scarlata وKenneth Paterson وGiovanni Torrisi. تخدم هذه الشركات مجتمعة حوالي 60 million مستخدمًا وتملك حصة سوقية تبلغ 23%.
بنى الفريق خوادم تصرفت كخوادم مخترقة وفرضوا نموذج تهديد للخادم الخبيث. برهنوا على 12 هجومًا ضد Bitwarden و7 ضد LastPass و6 ضد Dashlane. تراوحت الهجمات من استهداف خزائن مستخدمين محددين إلى اختراق كامل لخزائن منظمة، وفي كثير من الحالات تمكن الباحثون من الوصول إلى كلمات المرور وأحيانًا تغييرها. استندت الهجمات إلى تفاعلات بسيطة ينفذها المستخدمون عادة.
أشار الفريق إلى مشاكل في بنية الكود واستخدام تقنيات تشفير قديمة، وقدم توصيات لأمن أفضل. اتبع الباحثون الإفصاح المسؤول ومنحوا الشركات 90 يومًا للإصلاح، وتعاون معظم المزودين لكن لم يتحرك الجميع بنفس السرعة.
كلمات صعبة
- خزانة — مكان رقمي لحفظ كلمات الدخولخزائن
- مشفّر — محوّل إلى شكل لا يقرأه الآخرونمشفّرة
- نموذج تهديد — وصف المخاطر والأطراف التي قد تهاجم النظام
- هجوم — محاولة اختراق أو الوصول إلى نظام أو بياناتهجومًا
- الإفصاح المسؤول — إخبار الشركة بالمشكلة قبل نشرها للعامة
- مزود — شركة تقدّم خدمة أو منتج للمستخدمينالمزودين
تلميح: مرّر المؤشر أو ركّز أو اضغط على الكلمات المظلَّلة داخل القصة لرؤية تعريفات سريعة أثناء القراءة أو الاستماع.
أسئلة للمناقشة
- هل تثق بخدمات إدارة كلمات المرور؟ اذكر سببين لثقتك أو عدم ثقتك.
- هل تعتقد أن مهلة 90 يومًا للإصلاح كافية؟ ولماذا؟
- ما الإجراءات التي تتوقع من مزودي كلمات المرور تنفيذها لتحسين الأمان؟ اذكر مثالين.
