ثغرة أمنية في 4 برامج إدارة كلمات المرور واسعة الاستخدام تجعلها عُرضةً للاختراق

وفقًا لباحثين من شركة الأبحاث في مجال الأمن ISE ، فإن أربعةً من برامج إدارة كلمات المرور ذائعة الصّيت تمثل هدفًا ضعيفًا لهجمات جمع البيانات الجماعية.

قام  الباحثون من شركة ISE بتقييم كلا من 1Password و Dashlane و KeePass و LastPass ، والتي يتم استخدامها من قبل ما مجموعه 60 مليون مستخدم و 93،000 شركة على مستوى العالم. ووجدوا  أن جميع المنتجات فشلت في توفير الأمان لحماية كلمات مرور المستخدم “كما هو معلن”

حيث قيّم الباحثون الوظائف الأساسيّة لتطبيقات إدارة كلمات المرور الأربعة واكتشفوا أنه في بعض الحالات، يمكن العثور على كلمة المرور الرئيسيّة  Master password محفوظةً على شكل نص عادي يمكن قراءته في ذاكرة الكمبيوتر حتى بعد قفل مدير كلمات المرور. وكان للباحثين القدرة على استخراج كلمة المرور الرئيسية Master Password باستخدام أساليب التحقيق الجنائي الرقمي لذاكرة الكمبيوتر (Memory Forensics). وهذا، كما تشير ISE، بمثابة تخزين كلمة المرور الرئيسيّة في مستند أو على سطح المكتب؛ شيءٌ لا يُنصح به بالتأكيد!

“بالنظر إلى قاعدة المستخدمين الضّخمة للأشخاص الذين يستخدمون برامج إدارة كلمات المرور هذه، فإن هذه الثّغرات ستجذب المتسلّلين لاستهداف وسرقة البيانات من أجهزة الكمبيوتر المستهدفة عبر هجمات تختراق خبيثة” ، يقول الباحث الرئيسي في المعهد ، أدريان بدناريك.

مالذي يمكن القيام به لحماية أنفسنا و حساباتنا الإلكترونيّة؟

يجب الاستمرار باستخدام برامج إدارة  كلمات المرور  ولكن ما علينا سوى اتباع بعض الخطوات البسيطة:

1–  يجب عدم ترك مدير كلمة المرور قيد التشغيل في الخلفية، حتى في حالة القفل وتسجيل الخروج. كما يجب إنهاء العملية بالكامل ان كنّا نستخدم أحد البرامج المتأثّرة

2– عدم ترك أجهزتنا من دون مراقبة في الأماكن العامة

3– تغعيل المصادقة الثنائية (التحقق بخطوتين) لحسابات هذه البرامج. على سبيل المثال لتفعيل التحقق بخطوتين على برنامج لاست باس بمكن اتّباع هذا الدليل من موقع سمّع صوتك

التحقق بخطوتين على برنامج إدارة كلمات المرور لاست باس:

لاست باس، هو تطبيق مجاني لإدارة كلمات المرور, متاح على شكل إضافة لجميع المتصفحات المعروفة وعلى شكل تطبيق للهاتف الذكي. يحفظ التطبيق كلمات السر بشكل آمن حيث يستخدم واحدة من أفضل تقنيات التشفير المعروفة، ويولد كلمات سر آمنة للحسابات عند الحاجة​. يمكن معرفة كيفية تنصيب الرنامج واستخدامه من خلال هذا الدليل

عند تمكين ميزة التحقق بخطوتين (المعروفة أيضًا باسم المصادقة الثنائية)، فأنت بذلك تضيف طبقة أمان إضافية إلى حسابك. حيث تسجّل الدخول باستخدام شيء تعرفه (كلمة المرور) وشيء تحصل عليه (رمز يتم إرساله عبر هاتفك).

1 تسجبل الدخول الى حسابنا في  لاست باس Lasst Pass  من خلال الموقع الرسمي للبرنامج

2 بعد تسجبل الدخول، بجب الآن الذهاب الى إعدادات الحساب Account Settings كما هو موضح بالصورة المرفقة

3 ومن ثم الذهاب الى تبويبة خيارت المصادقة المتعددة العوامل  Multifactor Options

4  علينا الآن القيام باختيار أداة المصادقة التي نرغب باستخدامها، ننصح بأداة غوغل للمصادقة  ولمعرفة كيفية أعدادها واستخدامها يمكن الاطّلاع على هذا الدليل من سمع صوتك

5 بعد اختيار أداة المصداقة يجب الآن تفعيلها و اتّباع التعلميات التى تظهر على الشاشة مثل فتح تطبيق المصداقة على جهاز الهاتف الذكي و القيام بعملية مسح للباركود

6  نلاحظ أن تطبيق المصادقة بقوم بتوليد رموز من ستة ارقام ويمكن استخدام هذه الأرقام لتسجبل الدخول الى حساب برنامج لاست باس لمرة واحدة، حيث أنه يتم تغيير هذه الرموز السداسية بعد عدة ثوان .

2019-02-21

المصدر:  – سلامتكSalamaTech-