Undersökning av lösenordshanteraren visar att lösenord kan utsättas för angripare

• Kategori: Säkerhet

Prova Vårt Instrument För Att Eliminera Problem

Välj Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Välj Ett Projektprogram (Valfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Ditt Problem

Få Svar

Skicka Mig Via E -Post Visa På Webbplatsen

Att använda en lösenordshanterare är ett av få alternativ som du måste se till att säkra alla dina onlinekonton med säkra, omöjliga att gissa lösenord.

Det främsta skälet till det är att de flesta Internetanvändare finner det omöjligt att komma ihåg säkra lösenord för dussintals eller till och med hundratals webbtjänster, såvida de inte använder enkla grundläggande regler eller använder samma lösenord upprepade gånger.

Medan webbläsare som Firefox eller Google Chrome tillhandahåller ett överflöd av lösenordshanterare, kommer det vanligtvis att välja en lösenordshanterare som erbjuder de funktioner du behöver för det.

Den faktiska säkerheten för lösenordshanteraren, hur den hanterar lösenord, när den skickar dem till servrar och när inte, är inte riktigt transparent för det mesta.

En ny studie 'Password Managers Exposure Passwords Everywhere' av Marc Blanchou och Paul Youn av Isecpartners analyserade hur webbläsarbaserade lösenordshanterare interagerar med webbplatser när de är aktiverade.

Forskarna undersökte LastPass, IPassword och MaskMe för Chrome och Firefox och OneLastPass för Chrome. De tittade specifikt på när och hur dessa lösenordshanterare fyllde in lösenordsinformation.

Resultatet kan komma som en överraskning för användare av lösenordshanterare, men alla fyra av de undersökta programmen har visat sig inte bete sig på ett eller annat sätt.

HTTP vs HTTPS : MaskMe-lösenordshanteraren skiljer inte mellan HTTP- och HTTPS-scheman, vilket innebär att det kommer att fylla i lösenordsformuläret oavsett schema. Detta kan till exempel utnyttjas av mänskliga attacker.

En man-i-mitten-attackeraren, säger i ett offentligt trådlöst nätverk, kan helt enkelt omdirigera offren till falska HTTP-versioner av populära webbplatser med inloggningsformulär och JavaScript som automatiskt skickar in efter att de automatiskt har fyllts i av MaskMe. Alla som använder MaskMe med automatisk fyllning aktiverad (detta är standardbeteendet) kan mycket snabbt få sina lösenord stulna genom att helt enkelt ansluta till en skadlig åtkomstpunkt, och offren skulle aldrig veta det.

Skicka lösenord över ursprung : LastPass, OneLastPass och MaskMe har hittats för att skicka lösenord enligt ursprung. Det som menas med det är att de berörda lösenordshanterarna kommer att fylla i och skicka autentiseringsinformation på webbplatser även om adressen till vilken informationen skickas till skiljer sig från den webbplats som användaren befinner sig på.

Ignorera underdomäner: Alla fyra lösenordshanterare hanterar underdomäner lika med rotdomän. Detta innebär att inloggningsinformation fylls i på root-domänen, men också på alla underdomäner med samma domännamn.

Login sida : Alla lösenordshanterare som undersöktes i studien begränsar inte sina aktiviteter till en inloggningssida som tidigare använts av användaren. Om en inloggning har sparats för ett domännamn, hanteras alla inloggningsformulär på det domännamnet som det oavsett om de har använts tidigare eller inte.

Dessa metoder, vissa som hanteras på detta sätt för enkelhets skull, kan riskera användare, eftersom angripare kan använda dessa problem för att stjäla lösenordsinformation.

Forskarna föreslår att användare inte använder sig av automatisk fyllning och automatisk inloggningsfunktion som vissa lösenordshanterare erbjuder. Alla företag har informerats om resultaten.