Nghiên cứu của Trình quản lý mật khẩu cho thấy mật khẩu có thể bị lộ trước những kẻ tấn công

• Thể LoạI: Bảo Vệ

Hãy Thử Công Cụ CủA Chúng Tôi Để LoạI Bỏ Các VấN Đề

ChọN Hệ ĐiềU Hành Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro ChọN MộT Chương Trình ChiếU (Tùy ChọN) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Hãy Miêu Tả VấN Đề CủA BạN

NhậN Câu Trả LờI

GửI Cho Tôi Qua Email HiểN Thị Trên Trang Web

Sử dụng trình quản lý mật khẩu là một trong số ít các tùy chọn mà bạn phải đảm bảo để bảo mật tất cả các tài khoản trực tuyến của mình bằng mật khẩu an toàn, không thể đoán được.

Lý do chính là hầu hết người dùng Internet không thể nhớ mật khẩu an toàn cho hàng chục hoặc thậm chí hàng trăm dịch vụ web, trừ khi họ sử dụng các quy tắc cơ bản đơn giản hoặc sử dụng nhiều lần cùng một mật khẩu.

Mặc dù các trình duyệt web như Firefox hoặc Google Chrome có sẵn rất nhiều trình quản lý mật khẩu, nhưng bạn thường phải chọn một trình quản lý mật khẩu cung cấp các tính năng mà bạn yêu cầu.

Bảo mật thực tế của trình quản lý mật khẩu, cách nó xử lý mật khẩu, khi nào nó gửi chúng đến máy chủ và khi nào không, hầu hết không thực sự minh bạch.

Một nghiên cứu gần đây 'Người quản lý mật khẩu hiển thị mật khẩu ở mọi nơi' của Marc Blanchou và Paul Youn của Isecpartners đã phân tích cách trình quản lý mật khẩu dựa trên trình duyệt tương tác với các trang web khi chúng được kích hoạt.

Các nhà nghiên cứu đã kiểm tra LastPass, IPassword và MaskMe cho Chrome và Firefox và OneLastPass cho Chrome. Cụ thể, họ đã xem xét thời điểm và cách thức những người quản lý mật khẩu đó điền thông tin mật khẩu.

Kết quả có thể gây ngạc nhiên cho người dùng trình quản lý mật khẩu, nhưng cả bốn chương trình được kiểm tra đều bị phát hiện hoạt động sai theo cách này hay cách khác.

HTTP so với HTTPS : Trình quản lý mật khẩu MaskMe không phân biệt giữa lược đồ HTTP và HTTPS, có nghĩa là nó sẽ điền vào biểu mẫu mật khẩu bất kể lược đồ nào. Ví dụ, điều này có thể được khai thác bởi các cuộc tấn công man-in-the-middle.

Một kẻ tấn công trung gian, nói trên một mạng không dây công cộng, có thể chỉ cần chuyển hướng nạn nhân đến các phiên bản HTTP giả mạo của các trang web phổ biến có biểu mẫu đăng nhập và JavaScript tự động gửi sau khi được MaskMe tự động điền vào. Bất kỳ ai sử dụng MaskMe được bật tính năng tự động điền (đây là hành vi mặc định) có thể rất nhanh chóng bị đánh cắp mật khẩu của họ chỉ bằng cách kết nối với một điểm truy cập độc hại và nạn nhân sẽ không bao giờ biết.

Gửi mật khẩu qua các nguồn gốc : LastPass, OneLastPass và MaskMe đã được tìm thấy để gửi nguồn gốc tài khoản mật khẩu. Điều đó có nghĩa là những người quản lý mật khẩu bị ảnh hưởng sẽ điền và gửi thông tin xác thực trên các trang web ngay cả khi địa chỉ mà thông tin được gửi đến khác với trang web mà người dùng đang truy cập.

Bỏ qua tên miền phụ: Tất cả bốn trình quản lý mật khẩu đều xử lý các miền phụ bằng miền gốc. Điều này có nghĩa là thông tin đăng nhập được điền trên miền gốc, nhưng cũng được điền trên tất cả các miền phụ của cùng một tên miền.

Trang đăng nhập : Tất cả các trình quản lý mật khẩu được kiểm tra trong nghiên cứu không giới hạn hoạt động của họ đối với trang đăng nhập đã được người dùng sử dụng trước đó. Nếu thông tin đăng nhập đã được lưu cho một tên miền, tất cả các biểu mẫu đăng nhập trên tên miền đó sẽ được xử lý như vậy bất kể chúng đã được sử dụng trước đó hay chưa.

Những thực hành này, một số xử lý theo cách này để thuận tiện, có thể khiến người dùng gặp rủi ro vì những kẻ tấn công có thể sử dụng những vấn đề này để lấy cắp thông tin mật khẩu.

Các nhà nghiên cứu đề nghị người dùng không sử dụng chức năng tự động điền và tự động đăng nhập mà một số trình quản lý mật khẩu cung cấp. Tất cả các công ty đã được thông báo về kết quả.