क्लाउड पासवर्ड मैनेजर के सुरक्षा खतरे ^{CEFR B2}

ETH Zurich के Applied Cryptography Group ने Bitwarden, LastPass और Dashlane जैसे तीन लोकप्रिय क्लाउड-आधारित पासवर्ड मैनेजरों का विस्तृत अध्ययन किया। शोधकर्ता Matilda Backendal, Matteo Scarlata, Kenneth Paterson और Giovanni Torrisi की टीम ने बताया कि ये तीनों प्रदाता कुल मिलाकर लगभग 60 मिलियन उपयोगकर्ताओं को सेवा देते हैं और इनका लगभग 23% मार्केट शेयर है।

टीम ने एक दुर्भावनापूर्ण सर्वर खतरे का मॉडल (malicious server threat model) अपनाया और हैक किए गए सर्वरों जैसा व्यवहार करने वाले सर्वर बनाए। उन्होंने Bitwarden पर 12 हमले, LastPass पर 7 और Dashlane पर 6 हमले दिखाए। हमले एक विशिष्ट उपयोगकर्ता वॉल्ट को निशाना बनाने से लेकर किसी संगठन के सभी वॉल्ट को समझौता करने तक फैले थे। अधिकतर मामलों में शोधकर्ता उपयोगकर्ताओं के पासवर्ड तक पहुँच बना सकते थे और कभी-कभी उन्हें बदल भी सकते थे; इसके लिए केवल सामान्य उपयोगकर्ता क्रियाकलाप जैसे लॉगिन, वॉल्ट खोलना, पासवर्ड देखना या डेटा सिंक करना आवश्यक थे।

टीम ने कमजोरियों की गंभीरता देखकर आश्चर्य जताया। Scarlata ने कहा कि पासवर्ड रिकवरी और शेयरिंग जैसे उपयोगकर्ता-मित्रतापूर्ण फीचर कोड को जटिल बनाते हैं और हमले की सतह बढ़ाते हैं। टीम ने यह भी नोट किया कि कई प्रदाता अभी भी 1990s की क्रिप्टोग्राफिक तकनीकें उपयोग करते हैं।

शोधकर्ताओं ने जिम्मेदार प्रकटीकरण का पालन करते हुए प्रकाशन से पहले प्रदाताओं से संपर्क किया और कमजोरियाँ ठीक करने के लिए कंपनियों को 90 दिनों का समय दिया। Paterson ने कहा कि अधिकांश प्रदाता सहयोगी थे, पर सभी ने तेजी से कार्रवाई नहीं की और डेवलपर्स चिंता करते हैं कि अपडेट से ग्राहकों को अपने डेटा तक पहुँच खोने का जोखिम हो सकता है। सुझावों में नए ग्राहकों के लिए सिस्टम अपडेट करना, मौजूदा ग्राहकों को माइग्रेट करने का विकल्प देना और सुरक्षा के बारे में पारदर्शी होना शामिल था। उपयोगकर्ताओं को ऐसे मैनेजर चुनना चाहिए जो बाहरी ऑडिट से गुजरते हों और जिनमें डिफ़ॉल्ट रूप से end-to-end एन्क्रिप्शन सक्षम हो।

Paterson ने कहा, "हम चाहते हैं कि हमारा काम इस उद्योग में परिवर्तन लाने में मदद करे।" स्रोत: ETH Zurich।