Parola yöneticileri birçok kişinin yüzlerce parolasını saklıyor; bu yüzden bulut tabanlı hizmetlerde güvenlik kritik öneme sahip. ETH Zurich Uygulamalı Kriptografi Grubu, Bitwarden, LastPass ve Dashlane gibi üç popüler bulut parola yöneticisini inceledi. Üç sağlayıcı birlikte yaklaşık 60 million kullanıcıya hizmet veriyor ve toplamda 23% pazar payına sahipler.
Araştırma ekibinde Matilda Backendal, Matteo Scarlata, Kenneth Paterson ve Giovanni Torrisi yer aldı. Backendal ve Torrisi şu anda Università della Svizzera italiana'da, Lugano'da çalışıyor. Araştırmacılar hacklenmiş gibi davranan sunucular kurup kötü amaçlı sunucu tehdit modelini varsaydılar. Bitwarden'da 12, LastPass'te 7 ve Dashlane'de 6 olmak üzere bir dizi saldırı gösterdiler. Saldırılar belirli kullanıcı kasalarını hedeflemekten bir kuruluştaki tüm kasaları ele geçirmeye kadar çeşitlilik gösterdi ve çoğu durumda parolalara erişildi ya da parolalar değiştirildi.
Ekip, saldırıların kullanıcıların normal etkileşimlerini kullandığını belirtti: giriş yapmak, kasayı açmak, parolaları görüntülemek veya verileri senkronize etmek gibi eylemler saldırılarda istismar edildi. Araştırmacılar bazı sağlayıcıların hâlâ 90s dönemi kriptografik teknolojiler kullandığını ve parola kurtarma ile paylaşma gibi kullanıcı dostu özelliklerin kodu karmaşıklaştırıp saldırı yüzeyini genişlettiğini vurguladı. Sorumlu açıklama uygulaması izlenip bulgular yayımlanmadan önce sağlayıcılara 90 days verildi; Paterson bazı sağlayıcıların işbirlikçi olduğunu ancak hepsinin hızlı hareket etmediğini söyledi.
- Sistemlerin güncellenmesi ve mevcut müşterilere göç seçeneği sunulması.
- Şeffaflık ve dış denetimlerden geçen yöneticilerin tercih edilmesi.
- Uçtan uca şifrelemenin varsayılan olarak etkin olması.
Paterson, "Çalışmamızın bu sektörde değişim getirmesine yardımcı olmasını istiyoruz" dedi. Kaynak: ETH Zurich.
Zor kelimeler
- bulut tabanlı — İnternet üzerinden sağlanan çevrimiçi hizmet
- parola yöneticisi — Parolaları saklayan yazılım veya hizmetParola yöneticileri
- kriptografik — Şifreleme ve güvenlik teknikleriyle ilgili olan
- saldırı — Bir sisteme zarar veya erişim amacıyla yapılan hareketSaldırılar
- sorumlu açıklama — Güvenlik açıkları bildirilirken izlenen özel yöntem
- uçtan uca şifreleme — Veri sadece gönderen ve alan tarafından okunurUçtan uca şifrelemenin
- sağlayıcı — Hizmet veya ürün sunan şirket veya kurumsağlayıcıların, sağlayıcılara
İpucu: Türkçe metni okurken veya ses kaydını dinlerken, vurgulanan kelimelerin üzerine gel, odaklan ya da dokun; anında kısa tanımlar görünür.
Tartışma soruları
- Makalede önerilen önlemlerden hangileri kullanıcı güvenliğini en çok artırır? Nedenlerini açıklayın.
- Sorumlu açıklama uygulaması sağlayıcılarla araştırmacılar arasındaki ilişkiyi nasıl etkiler? Kısa bir gerekçe verin.
- Uçtan uca şifrelemenin varsayılan olması kullanıcı deneyimi ve güvenlik açısından hangi olumlu ve olumsuz sonuçları doğurabilir?
İlgili makaleler
Latin Amerika'da yerel yapay zeka ile cinsiyet eşitsizliğiyle mücadele
Latin Amerika'da aktivistler ve araştırmacılar, cinsiyete dayalı eşitsizlik ve şiddeti incelemek için açık kaynaklı yerel yapay zeka araçları geliştiriyor. Projeler veri koruması, mahkeme belgeleri analizi ve yerel politika çağrılarına odaklanıyor.
Termit dışkısındaki mikroplar pelet yaşını gösteriyor
University of California, Riverside araştırması, termit peletlerindeki mikroorganizma DNA’sını kullanarak taze ve eski peletleri ayırt etmeyi gösteriyor. Bu yöntem, istilanın hızla tespit edilmesini sağlayacak pratik teste dönüşebilir.
Manyetik Rezonansta (MRI) Yeni Fiziksel Model
Rice Üniversitesi ve Oak Ridge Ulusal Laboratuvarı araştırmacıları, moleküler hareketleri MRI sinyalleriyle ilişkilendiren fizik tabanlı bir model geliştirdi. Çalışma The Journal of Chemical Physics dergisinde yayımlandı ve kod açık kaynak verildi.