ETH Zurich के Applied Cryptography Group ने तीन लोकप्रिय क्लाउड-आधारित पासवर्ड मैनेजर — Bitwarden, LastPass और Dashlane — का अध्ययन किया। टीम में Matilda Backendal, Matteo Scarlata, Kenneth Paterson और Giovanni Torrisi शामिल थे। Backendal और Torrisi वर्तमान में Università della Svizzera italiana, Lugano में काम कर रहे हैं।
शोधकर्ताओं ने एक दुर्भावनापूर्ण सर्वर मॉडल अपनाया और हैक किए गए सर्वरों जैसा व्यवहार करने वाले सर्वर स्थापित किए। परीक्षणों में ऐसे हमले दिखाए गए जो एक विशिष्ट उपयोगकर्ता वॉल्ट से लेकर किसी संगठन के कई वॉल्ट तक जा सकते थे। अधिकांश मामलों में टीम पासवर्ड तक पहुँच बना सकती थी और कुछ स्थितियों में पासवर्ड बदल भी सकती थी। इन हमलों के लिए सामान्य उपयोगकर्ता क्रियाकलाप ही प्रयोग हुए, जैसे लॉगिन, वॉल्ट खोलना और डेटा सिंक करना।
टीम ने प्रदाताओं को पहले सूचित किया और कमजोरियाँ ठीक करने के लिए 90 दिनों का समय दिया। शोध से यह स्पष्ट हुआ कि प्रदाताओं को सिस्टम अपडेट करना, ग्राहकों के लिए माइग्रेशन विकल्प देना और सुरक्षा में पारदर्शिता रखनी चाहिए। उपयोगकर्ताओं को बाहरी ऑडिट और end-to-end एन्क्रिप्शन वाले मैनेजर प्राथमिकता देनी चाहिए।
कठिन शब्द
- प्रदाता — कोई सेवा या सामान देने वाली संस्थाप्रदाताओं
- दुर्भावनापूर्ण — किसी को नुकसान पहुँचाने का इरादा रखने वाला
- सर्वर — नेटवर्क में सेवाएं चलाने वाला कंप्यूटरसर्वरों
- वॉल्ट — सुरक्षित पासवर्ड और डेटा रखने की जगह
- सिंक — डेटा को दो स्थानों पर एक जैसा बनाना
- पारदर्शिता — काम और नीतियों के बारे में स्पष्ट होना
- माइग्रेशन — एक प्रणाली से दूसरी प्रणाली में डेटा स्थानांतरण
युक्ति: जब आप किसी भी भाषा में कहानी पढ़ें या ऑडियो सुनें, तो लेख में हाइलाइट किए गए शब्दों पर होवर/फ़ोकस/टैप करें और तुरंत छोटी-सी परिभाषा देखें।
चर्चा के प्रश्न
- यदि आप पासवर्ड मैनेजर चुन रहे हों, तो आप किन सुरक्षा गुणों को प्राथमिकता देंगे और क्यों?
- शोधकर्ताओं ने प्रदाताओं को कमजोरियाँ ठीक करने के लिए 90 दिन दिए। क्या आपको लगता है यह समय काफी है? क्यों या क्यों नहीं?
- उपयोगकर्ता इन प्रकार के हमलों से बचने के लिए किन कदमों का पालन कर सकते हैं?
