منوی سایت

آیا استفاده از Password Manager ایمن است؟

بسیاری از ما قوانین مربوط به امنیت پسورد را می دانیم - آنها را پیچیده می کنید ، از آنها استفاده مجدد نکنید و هر چند وقت یک بار آنها را تغییر دهید. اما تقریباً در هر سایت و برنامه ای که کاربران مجبور به ثبت نام در یک حساب کاربری هستند ، به خاطر سپردن پایداری رو به رشد روز افزون رمزعبورهای کاملاً پیچیده تبدیل به یک وظیفه هولناک می شود.

password-login-hands-concept-700px

Password Manager را وارد کنید ، که نه تنها حافظه را به خاطر می آورد بلکه می تواند رشته های تصادفی حروف کوچک و بزرگ ، اعداد و علائم لازم را برای محافظت از حساب های آنلاین شما در برابر هکرها و کلاهبرداران ایجاد کند. گذرواژه ها در «خرک» ذخیره می شوند که خود توسط گذرواژه اصلی طراحی شده توسط کاربر محافظت می شود.

اما چه اتفاقی می افتد که حساب هک شده خود مدیر رمز عبور باشد - همانطور که در مورد مدیران رمز عبور معروف مانند LastPass و 1Login رخ داده است؟ آیا ذخیره تمام کلمات عبور خود در یک مکان آنلاین بصورت امن کاملاً ایمن است؟

کارشناسان امنیتی توافق دارند که استفاده از مدیر رمز عبور بسیار ایمن تر از استفاده مجدد از رمزهای عبور یا نوشتن آنها است ، اما آسیب پذیری های امنیتی وجود دارد که باید از آنها آگاه باشید.
 

getty-password1password-managers-safe-to-use

از هر ده آمریکایی فقط یک نفر از Password Manager استفاده می کند و فقط سه درصد آن را به عنوان مکررترین ابزار ورود رمز عبور خود حساب می کنند. در مطالعه ای که اخیراً در علوم محاسبات و اطلاع رسانی انسان محور منتشر شده است ، محققان دریافتند که کاربران مدیران رمز عبور بیشتر برای راحتی کار انجام می دهند ، در حالی که کسانی که از آنها استفاده نمی کنند ، موارد امنیتی را برجسته می کنند.

Sandor Palfy ، LastPass CTO ، می گوید: "گزینه های معمول برای Password Manager ، استفاده از رمز عبور مشابه در همه جا یا ذخیره آنها در صفحه گسترده است." "برخی از افراد ممکن است در استفاده از Password Manager مردد باشند زیرا از" قرار دادن همه تخم مرغ های خود در یک سبد "می ترسند ، اما این یک سبد بسیار بسیار ایمن است."

مدیران رمز عبور مبتنی بر ابر مانند Dashlane ، LastPass و Sticky Password از پروتکل های امنیتی با دانش صفر استفاده می کنند که رمزهای عبور اصلی کاربران را با یک کلید رمزگذاری که فقط در دستگاه های کاربران ذخیره می شود ، رمزگذاری می کند (به طوری که شرکت ها "دانش صفر" از کاربران ندارند رمزهای عبور) این رمزگذاری شامل هزاران دور هش اعتبار سنجی است ، جایی که یک الگوریتم یک رشته متن را به یک رشته طولانی تر تبدیل می کند ، و این امر هکرها را برای شکستن متن هش شده دشوارتر می کند.

رمزگذاری قوی به این معنی است که در صورت نقض ، حتی گذرواژه های اصلی در معرض خطر قرار نمی گیرند - اما اطلاعات حساس دیگری که به مهاجمین اجازه می دهد حساب های دیگر کاربران را نقض کنند ممکن است در معرض دید قرار گیرد.

به عنوان مثال ، وقتی LastPass در سال 2015 نقض شد ، هیچ شواهدی مبنی بر به خطر افتادن رمزهای عبور اصلی کاربران و رمزهای ورود رمزگذاری شده رمزگذاری نشده بود - اما آدرس ایمیل کاربر و یادآوری رمز عبور به سرقت رفته است. این جزئیات می تواند حملات هدفمندی مانند فیشینگ را فراهم کند ، جایی که مهاجمان ممکن است با استفاده از یادآوری رمز عبور ، صفحه ورود به سیستم جعلی را به آدرس ایمیل کاربر ارسال کنند تا کاربران را به ورود رمز ورود اصلی خود جلب کنند. دسترسی به آدرس ایمیل کاربران همچنین می تواند دریچه هایی را برای هکرها در حسابهای کاربران در سایتهای دیگر باز کند.
مدیران رمز عبور می توانند اهداف هکر باشند

از آنجا که مدیران گذرواژه حاوی اطلاعات زیادی برای مجرمان سایبری هستند - همراه با رمزهای عبور ، مدیرانی مانند Dashlane و LastPass همچنین می توانند اطلاعات شخصی را برای فرم های تکمیل خودکار ، کارت های اعتباری و جزئیات مکرر آگهی دهنده ذخیره کنند - آنها اغلب هدف هکرها هستند.

کورت باومگارتنر ، محقق اصلی امنیت در آزمایشگاه کسپرسکی می گوید: "نقاط ضعف مدیر رمز عبور که در گذشته مورد سو استفاده قرار گرفته است ، شامل نقص کامل در طراحی ، حملات جعل ، اعتبار سنجی ورودی برنامه افزودنی مرورگر و موارد دیگر است."

راحت ترین ویژگی یک مدیر رمز عبور نیز یکی از ضعیف ترین لینک ها در امنیت آن است.

تقریباً تمام مدیران گذرواژه دارای پسوند مرورگری هستند که می تواند به طور خودکار ورود به سیستم را ایجاد کرده و کلمه عبور را در سایت های جدید ایجاد کند - اما این ویژگی همچنین "ورود" دیگری با امنیت کمتر را به مهاجمان ارائه می دهد تا بتوانند در طاق رمز عبور خود را بکشند. محققان امنیتی چندین اشکال مهم را در مدیران رمز عبور محبوب کشف کرده اند که آنها را در معرض چنین حملاتی قرار می دهد.

بازدید از وب سایتی که حاوی بدافزار است در حالی که از پسوند مرورگر مدیر رمز عبور استفاده می کنید ، می تواند منجر به سرقت گذرواژه های شما شود بدون اینکه شما در مورد آن بدانید.
آیا مدیران رمز عبور مرورگر ایمن هستند؟

بسیاری از مرورگرها همچنین می توانند رمزهای عبور شما را ذخیره کرده و به طور خودکار وارد سیستم شوند. اگرچه مدیران گذرواژه مرورگر از امنیت بالایی برخوردار نیستند ، اما در سالهای اخیر سطح امنیت افزایش یافته است.

در Chrome ، گذرواژه ها به طور پیش فرض رمزگذاری می شوند و برای مشاهده آنها ، کاربران باید به حساب Google خود وارد شوند و علاوه بر این ، در دستگاه خود احراز هویت می شوند - به عنوان مثال رمز ورود کاربر برای رایانه ، یا پین برای تلفن هوشمند.

Safari و Ed همچنین رمزهای عبور را رمزگذاری می کنند ، که فقط پس از تأیید اعتبار اضافی قابل مشاهده است - حداقل اگر برای ورود به سیستم رمز ورود برای رایانه و یا PIN در تلفن هوشمند خود تنظیم کرده باشید!

مرورگر Firefox تنها موردی است که با رمزعبور اصلی از طاق رمزعبور رمزگذاری شده خود محافظت می کند و این یک لایه محافظتی اضافی را می دهد که باید شکسته شود. با این حال ، گوگل اعلام کرد دلیل نداشتن رمز ورود اصلی Chrome این است که یک امنیت کاذب ارائه می دهد ، اظهار داشت که از خطرات مانند کسی که به کامپیوتر دسترسی دارد - یا نصب یک keylogger - باعث شکستن آن نمی شود ، محافظت نمی کند. رمز عبور برای دسترسی به طاق

Password-security2-News-MAIN-960x480

با این وجود ، با وجود این اقدامات ایمنی ، مدیران رمز عبور مرورگر نسبت به یک مدیر رمز عبور شخص ثالث در معرض خطرات امنیتی بیشتری هستند.

از طرف دیگر ، در حالی که مدیران گذرواژه مرورگر راهی بدون دردسر برای ذخیره ورودهای موجود هستند ، اما راهی برای تولید رمزهای عبور تصادفی و منحصر به فرد برای هر حساب ارائه نمی دهند. این شامل مرورگرهای Edge ، Firefox ، Safari و Chrome است. پالفی خاطرنشان می کند: "برخی از متداول ترین روش هایی که مردم در معرض آسیب پذیری آنلاین خود قرار می دهند ، استفاده از رمزهای عبور ضعیف و آسان برای حدس زدن و سپس استفاده مجدد از آن رمزهای عبور در چندین حساب آنلاین دیگر است."

همچنین می توان از طریق حملات مرورگر به راحتی به رمزهای عبور ذخیره شده دسترسی پیدا کرد. اگرچه هر چهار مرورگر اصلی رمزعبورهای ذخیره شده خود را رمزگذاری کرده و قبل از نمایش این گذرواژه ها درخواست ورود می کنند ، اما گذرواژه ها با همان سطح رمزگذاری که به عنوان مدیران گذرواژه اختصاصی محافظت نمی شوند - و به همین ترتیب بالقوه ممکن است به راحتی شکسته شوند.

این ویژگی فوق العاده مناسب دیگر - پر کردن خودکار - نیز یکی از بزرگترین نقاط ضعف مدیر رمز عبور مرورگر است.

تحقیقات انجام شده توسط Proofpoint ، یک شرکت امنیت سایبری ، اخیراً نشان داده است که ویژگی تکمیل خودکار در مدیران رمز عبور مرورگر توسط شرکت های تبلیغاتی دیجیتال برای خراش داده های کاربران ، از جمله آدرس ایمیل مورد سو استفاده قرار گرفته است. برای افشای رمزهای عبور ذخیره شده می توان از همین روش استفاده کرد.

"آنچه این سناریو را مشکل می کند این است که دارندگان سایت این اسکریپت های تبلیغاتی شخص ثالث را به صفحات وب خود اضافه می کنند و آنها را به بخشی از کد خود وب سایت تبدیل می کنند. محافظت داخلی مرورگرهای وب که اسکریپت های شخص ثالث خارجی را از کد سایت جدا می کند ، در این صورت کار نمی کند ، که محافظت در برابر این حملات را بسیار حیله گر می کند. "
7 نکته برای استفاده ایمن از یک مدیر رمز عبور

تاکنون ممکن است تصویر برای امنیت رمز عبور بسیار ناخوشایند باشد. با این حال ، مزایای یک مدیر گذرواژه خوب - تولید و ذخیره گذرواژه های پیچیده و منحصر به فرد که به راحتی می توانید به روز کنید - به این معنی است که اکثر کارشناسان استفاده از آن را توصیه می کنند. باومگارتنر می گوید: "اگرچه ایمن بودن در برابر پیشرفته ترین تهدیدات غیرممکن است ، اما انتخاب مدیر رمز عبور شخص ثالث می تواند به کاربران کمک کند تا از اعتبار خود در برابر اکثر حملاتی که ممکن است با آن روبرو شوند محافظت شود.

برای اطمینان از محافظت از حساب های خود می توانید هفت مرحله زیر را انجام دهید:

1. یک مدیر رمز عبور بدون بازیابی رمز عبور اصلی انتخاب کنید

هر کاری انجام می دهید ، یک مدیر رمز عبور انتخاب کنید که امکان بازیابی رمز عبور اصلی را نداشته باشد. باومگارتنر می گوید: "اگر یک بازیگر مخرب بتواند از رمز عبور اصلی خود از طریق ابزار بازیابی حساب استفاده کند ، این حتی امن ترین برنامه های مدیریت رمز عبور را نیز بی فایده می کند."

vault

2. از احراز هویت دو عاملی استفاده کنید

هر حساب آنلاین خطر هک شدن را دارد. یک راه برای دور زدن این خطر استفاده از احراز هویت دو عاملی برای محافظت از مدیر رمز عبور است. Chrome از اعتبار سنجی دو عاملی با تلفن هوشمند شما پشتیبانی می کند و به همراه Firefox و Edge با کلیدهای سخت افزاری احراز هویت مانند Yubico نیز کار می کند. مدیران گذرواژه شخص ثالث از جمله Dashlane ، LastPass و Sticky Password از احراز هویت دو عاملی با تلفن هوشمند شما پشتیبانی می کنند. باومگارتنر می گوید: "در حالی که احراز هویت دو عاملی ممکن است به دلیل تهدیداتی مانند ربودن سیم کارت ، خطراتی را نیز به همراه داشته باشد ، حداقل یک لایه دفاع دیگر بین مجرم سایبری و زرادخانه کامل اطلاعات ورود شما قرار می گیرد."

3. پر کردن خودکار را خاموش کنید

ممکن است بخواهید تکمیل خودکار را خاموش کنید. این همچنین به معنی ورود به مدیر گذرواژه خود ، سپس کپی و جایگذاری گذرواژه های خود در صفحه ورود به سیستم است.

4- از رمزهای عبور قوی استفاده کنید

هنگام نوشتن رمزعبور اصلی خود ، آن را قوی کنید. پالفی می گوید: "طبق استانداردهای امروز ، این به معنای 20 حرف یا بیشتر است ، گذرواژه هایی که به طور تصادفی ایجاد می شوند و حاوی حروف کوچک ، بزرگ ، رقم و علامت هستند." شاید افتخار کنید که به طرز شیطانیانه ای غیرقابل کنترل است - اما از رمزعبور اصلی خود استفاده مجدد نکنید.

5. اطمینان حاصل کنید که همه رمزهای عبور شما منحصر به فرد هستند

اطمینان حاصل کنید که تمام رمزهای عبور دیگر شما منحصر به فرد هستند. Dashlane Premium یکی از گزینه هایی است که می تواند به صورت خودکار رمزهای عبور ضعیف یا تکراری را بررسی کرده و سپس به صورت خودکار آنها را با یک رمز عبور تصادفی و پیچیده جایگزین کند.

6. نرم افزار خود را به روز نگه دارید

به زودی به روزرسانی های امنیتی را برای مدیر گذرواژه خود بارگیری کنید - غالباً ، نقاط ضعف تازه کشف شده را وصله می کنند.

7. از بارگیری و افزونه های مرورگر مراقب باشید

به طور کلی ، نسبت به بارگیری های خود به خصوص برنامه های افزودنی مرورگر مواظب باشید - بدافزار نصب شده ناخواسته می تواند منجر به ورود به سیستم کلید یا کپی ورود به سیستم شود.

انتخاب Password Manager مناسب

بهترین مدیران رمز ورود به شما اجازه بازیابی رمز عبور اصلی خود را نمی دهند ، آنها به شما اجازه می دهند از احراز هویت دو عاملی استفاده کنید ، آنها حساب های شما را برای نقض رمز عبور و گذرواژه های ضعیف کنترل می کنند ، رمزهای عبور قوی برای شما ایجاد می کنند ، از گذرواژه های شما به صورت آنلاین پشتیبان تهیه می کنند و آنها به شما اجازه می دهد برای ورود به سیستم تلفن هوشمند خود از اثر انگشت یا شناسه چهره استفاده کنید. مدیر رمزعبور مورد علاقه ما ، Dashlane Premium (60 دلار در سال) ، دارای تمام ویژگی های ذکر شده و موارد دیگر است. این همچنین فرم هایی را پر می کند ، از جمله اطلاعات کارت اعتباری شما ، همگام سازی در همه دستگاه های شما ، Dark Web را برای اطلاعات شخصی و اطلاعات حساب اسکن می کند و خدمات VPN را برای رایانه و تلفن هوشمند شما فراهم می کند تا تمام داده های شما را هنگام استفاده از خدمات مبتنی بر اینترنت رمزگذاری کند از طریق WiFi عمومی