عیوب موجود در برنامه‌های "مدیریت کلمه عبور"

اگر شما تصور می‌کنید استفاده از نرم‌افزارهای مدیریت رمز عبور به شما کمک می‌کند پسوردهای پیچیده و امنیتی را در خاطر نگه‌دارید بدون اینکه خطر دزدیده شدن آن‌ها وجود داشته باشد، بهتر است در عقیده‌ی خود تجدیدنظر کنید.

محققان دانشگاه کالیفرنیا در برکلی اشکالات بزرگی در پنج برنامه‌ی مبتنی بر وب کشف کردند که نرم‌افزار محبوب LastPass نیز شامل آن‌ها می‌شود. خوشبختانه، نواقص چهار برنامه از پنج برنامه‌ی مدیریت پسورد شناسایی‌شده و ایرادات آن رفع شده است اما به‌هرحال این امر نشان‌دهنده‌ی وجود رخنه‌هایی در سامانه‌های امنیتی است.

بر طبق پژوهش‌ها، بزرگ‌ترین ایرادات در برنامه‌ی LastPass یافت شده است، یک مهاجم سایبری به‌سادگی می‌تواند متون ساده‌ی رمزی را از هر سایتی در پایگاه داده‌ای ذخیره‌شده‌ی کاربران را از طریق سایت‌های مورد هجوم قرارگرفته بدزدد؛ زمانی که قربانی از"bookmarklet"  استفاده می‌کند _ برنامه‌ای رمز عبور را به‌صورت خودکار در سایت وارد می‌شود_ کدهای مخرب باعث می‌شود تعداد قابل‌توجهی از رمزهای عبور به‌سادگی دزدیده شوند.

LastPass دارای عیوب دیگری هم هست که باعث می‌شود تا زمانی که آدرس ایمیل کاربر برای مهاجم شناخته‌شده باشد بتواند اطلاعات رمز گزاری کاربری را دریافت و به‌سادگی آن را حتی به‌صورت آفلاین نیز رمزگشایی کند، یعنی این ایراد به مهاجمین اجازه می‌دهد تا به همه‌ی پسوردهایی که کاربر برای رمز گزاری آن از LasPass استفاده می‌کند؛ دسترسی داشته باشد.

چهار برنامه‌ی دیگر مدیریتی مبتنی بر وب مورد پژوهش قرارگرفته با نام‌های PasswordBox, Roboform, My1login و NeedMyPassword نیز هرکدام دارای معایبی با درجه‌ی شدت متفاوتی هستند. تا زمانی که پژوهشگران برنامه‌های دیگر را نیز مورد آزمایش قرار ندهند نمی‌توان با اطمینان در مورد امن بودن آن‌ها اظهارنظر کرد.

علی‌رغم اینکه استفاده از برنامه‌های مدیریت پسورد مطمئن‌تر و امن‌تر از استفاده از یک پسورد برای همه‌ی وب‌سایت‌ها است. یک برنامه‌ی مدیریتی که بر روی امنیت سیستم تمرکز می‌کند کمتر از وب‌سایت‌های دیگری که اهمیت چندانی به حفاظت اطلاعات نمی‌دهند مورد هجوم قرار می‌گیرد؛ بااین‌حال حتی اگر برنامه‌های مدیریتی تنها دارای یک نقطه‌ضعف باشند و از همان نقطه مورد هجوم هکرها قرار بگیرند به‌طور کامل فاجعه‌بار خواهد بود.