این سوء استفاده عظیم مدیر رمز عبور ممکن است هرگز برطرف نشود

چند ماه بد برای مدیران رمز عبور بوده است – البته بیشتر فقط برای LastP،. اما پس از افشای این موضوع که LastP، دچار یک نقض بزرگ شده است، اکنون توجه به مدیر منبع باز KeeP، معطوف شده است.

اتهاماتی مبنی بر اینکه یک آسیب پذیری جدید به هکرها اجازه می دهد تا به طور مخفیانه کل پایگاه داده رمز عبور کاربر را در متن ساده رمزگذاری نشده بدزدند، مطرح شده است. این یک ادعای فوق العاده جدی است، اما توسعه دهندگان KeeP، آن را به چالش می کشند.

KeeP، یک مدیر رمز عبور منبع باز است که محتویات خود را در دستگاه کاربر ذخیره می کند، نه در فضای ابری مانند پیشنهادات رقیب. با این حال، مانند بسیاری از برنامه های دیگر، صندوق رمز عبور آن را می توان با رمز عبور اصلی محافظت کرد.

آسیب پذیری، به ،وان ثبت شده است CVE-2023-24055، برای هر ،ی که دسترسی نوشتن به سیستم کاربر دارد در دسترس است. پس از به دست آوردن آن، یک عامل تهدید می‌تواند دستوراتی را به فایل پیکربندی XML KeeP، اضافه کند که به‌طور خودکار پایگاه داده برنامه – شامل همه نام‌های کاربری و رمزهای عبور – را به یک فایل متن ساده رمزگذاری نشده صادر می‌کند.

به لطف تغییرات ایجاد شده در فایل XML، این فرآیند به طور خودکار در پس زمینه انجام می شود، بنابراین به کاربران هشدار داده نمی شود که پایگاه داده آنها صادر شده است. عامل تهدید سپس می تواند پایگاه داده صادر شده را به رایانه یا سروری که کنترل می کند است،اج کند.

درست نمیشه

با این حال، توسعه دهندگان KeeP، طبقه بندی این فرآیند به ،وان یک آسیب پذیری را مورد مناقشه قرار داده اند، زیرا هر ،ی که دسترسی نوشتن به یک دستگاه دارد می تواند با استفاده از روش های مختلف (گاهی ساده تر) به پایگاه داده رمز عبور دست یابد.

به عبارت دیگر، هنگامی که شخصی به دستگاه شما دسترسی داشته باشد، این نوع سوء استفاده از XML غیر ضروری است. به ،وان مثال، مهاجمان می توانند یک کی لاگر برای دریافت رمز اصلی نصب کنند. خط استدلال این است که نگر، در مورد این نوع حمله مانند بستن درب پس از پیچ شدن ، است. اگر یک مهاجم به رایانه شما دسترسی داشته باشد، رفع سوء استفاده XML کمکی نخواهد کرد.

راه حل، توسعه دهندگان استدلال می کنند، “ایمن نگه داشتن محیط (با استفاده از یک نرم افزار ضد ویروس، فایروال، باز ن، پیوست های ناشناخته ایمیل و غیره) است. KeeP، نمی تواند به طور جادویی به طور ایمن در یک محیط ناامن اجرا شود.

چه کاری می تو، انجام بدهی؟

در حالی که به نظر می رسد توسعه دهندگان KeeP، تمایلی به رفع مشکل ندارند، مراحلی وجود دارد که می تو،د خودتان انجام دهید. بهترین کار ایجاد یک فایل پیکربندی اجباری. این کار بر سایر فایل‌های پیکربندی ارجحیت دارد و هرگونه تغییر م،ب ایجاد شده توسط نیروهای خارجی را کاهش می‌دهد (مانند مواردی که در آسیب‌پذیری صادرات پایگاه داده استفاده می‌شود).

همچنین باید مطمئن شوید که کاربران عادی به هیچ فایل یا پوشه مهمی که در دایرکتوری KeeP، موجود است دسترسی نوشتن ندارند و فایل KeeP، .exe و فایل پیکربندی اجباری در یک پوشه هستند.

و اگر در ادامه استفاده از KeeP، احساس راحتی نمی کنید، گزینه های زیادی وجود دارد. سعی کنید به یکی از بهترین مدیران رمز عبور بروید تا اطلاعات ورود و کارت اعتباری خود را ایمن تر از همیشه حفظ کنید.

در حالی که بدون شک این خبر بدتری برای دنیای مدیران رمز عبور است، اما این برنامه ها همچنان ارزش استفاده را دارند. آنها می توانند به شما در ایجاد رمزهای عبور قوی و منحصر به فرد کمک کنند که در همه دستگاه های شما رمزگذاری شده است. این بسیار ایمن تر از استفاده از “123456” برای هر حساب است.

اخبار فناوری امروز که برای صندوق ورودی شما تنظیم و فشرده شده است

صندوق ورودی خود را بررسی کنید!

لطفاً برای ادامه یک آدرس ایمیل معتبر ارائه دهید.

این آدرس ایمیل در حال حاضر در پرونده است. اگر خبرنامه دریافت نمی کنید، لطفاً پوشه اسپم خود را بررسی کنید.

با عرض پوزش، در حین اشتراک خطایی رخ داد. لطفاً بعداً دوباره امتحان کنید.