পাসওয়ার্ড পরিচালকরা তাদের দাবির মতো সুরক্ষিত নয়

অনলাইন সংযোগ আরও অনেক বেশি হয়ে উঠেছে ২০১০ এর দশক থেকে, বিশেষত সামাজিক যোগাযোগমাধ্যমের আবির্ভাবের সাথে। অনেক অনলাইন পরিষেবা ব্যবহারকারীদের সর্বত্র একই পাসওয়ার্ড ব্যবহার না করতে উত্সাহিত করে।

পাসওয়ার্ড পরিচালকদের মধ্যে এটিই আসে সুরক্ষার স্তরের সাথে কেন্দ্রীয়ভাবে সমস্ত পাসওয়ার্ড রাখতে ব্যবহারকারীদের সহায়তা করতে (মেটাডেটা এবং আরও অনেক কিছু যুক্ত করুন)।

পাসওয়ার্ড ম্যানেজার কীভাবে ব্যবহার করবেন?

পাসওয়ার্ড পরিচালকদের একটি এনক্রিপ্ট করা ডাটাবেস থেকে গোপনীয় তথ্য সংগ্রহ এবং পুনরুদ্ধারের অনুমতি দিন।

ব্যবহারকারীরা তাদের ফাঁসের বিরুদ্ধে আরও ভাল সুরক্ষা গ্যারান্টি দেওয়ার জন্য তাদের বিশ্বাস করে সুরক্ষিত পাসওয়ার্ডের অন্যান্য পদ্ধতির তুলনায় তুচ্ছ, যেমন অনিরাপদ পাঠ্য ফাইল।

অন্য কথায়, পাসওয়ার্ড পরিচালকগণ আপনার ব্যবহৃত সমস্ত পাসওয়ার্ড ইন্টারনেটে এক জায়গায় রাখতে পারেন, তাই এগুলি খুব কার্যকর।

তারা এটিকে আঁকায় সব কিছুই হয় না

বলা হচ্ছে, একদল স্বতন্ত্র সুরক্ষা পরীক্ষক, আইএসই এই সপ্তাহে জানিয়েছে যে সর্বাধিক জনপ্রিয় পাসওয়ার্ড পরিচালকদের কিছু দুর্বলতা রয়েছে এটি ব্যবহারকারীর কাছ থেকে পরিচয়ের তথ্য চুরি করতে কাজে লাগানো যেতে পারে, ধরে নিয়েই তৃতীয় পক্ষগুলি তাদের এখনও ব্যবহার করা হয়নি।

গ্রুপটি উপস্থাপন করা প্রতিবেদনে, বর্ণিত সুরক্ষাটি গ্যারান্টি দেয় যে পাসওয়ার্ড পরিচালকদের পাঁচটি জনপ্রিয় পাসওয়ার্ড পরিচালকের অন্তর্নিহিত ক্রিয়াকলাপটি দেওয়া উচিত এবং তা পরীক্ষা করা উচিত।

এমনকি ফ্রি সফটওয়্যারও ছাড় নয়

এগুলি হল পাসওয়ার্ড পরিচালক 1 পাসওয়ার্ড, কিপাস, ড্যাশলেন এবং লাস্টপাস। নীচের তালিকাভুক্ত এই সমস্ত পাসওয়ার্ড পরিচালকরা একইভাবে কাজ করেন বলে তারা বলে।

ব্যবহারকারীরা সফ্টওয়্যারটিতে পাসওয়ার্ড প্রবেশ বা উত্পন্ন করে এবং প্রাসঙ্গিক মেটাডেটা যুক্ত করে (উদাহরণস্বরূপ, সুরক্ষা প্রশ্নগুলির উত্তর এবং যে সাইটের জন্য পাসওয়ার্ডটি ডিজাইন করা হয়েছে)।

এই তথ্যটি এনক্রিপ্ট করা হয় এবং তারপরে ডিক্রিপ্ট করা হয় যখন কোনও ব্রাউজার প্লাগ-ইনতে কোনও স্ক্রিনটি পাসওয়ার্ডে প্রেরণ করা প্রয়োজন হয় যা কোনও ওয়েবসাইটে পাসওয়ার্ড পূরণ করে বা ক্লিপবোর্ডে ব্যবহারের জন্য অনুলিপি করে।

এই প্রশাসকের প্রত্যেকের জন্য, গোষ্ঠীটি তিনটি অস্তিত্বের স্থিতি সংজ্ঞা দেয়: দৌড়ানো, আনলক করা এবং লক করা নেই।

প্রথম অবস্থায়, পাসওয়ার্ড পরিচালককে অবশ্যই এনক্রিপশন নিশ্চিত করতে হবে যাতে ব্যবহারকারী যতক্ষণ তুচ্ছ পাসওয়ার্ড ব্যবহার না করে ততক্ষণ কোনও আক্রমণকারী হঠাৎ করে পাসওয়ার্ডে মাস্টার পাসওয়ার্ডটি অনুমান করতে পারে না।

দ্বিতীয় অবস্থায় মেমরি থেকে মাস্টার পাসওয়ার্ড বের করা সম্ভব হবে না আসল মাস্টার পাসওয়ার্ডটি পুনরুদ্ধার করতে প্রত্যক্ষ বা অন্য কোনও উপায়ে।

এবং তৃতীয় অবস্থায়, একটি অ-সক্রিয় পাসওয়ার্ড ম্যানেজারের সমস্ত সুরক্ষা গ্যারান্টি অবশ্যই লক অবস্থায় থাকা কোনও পাসওয়ার্ড ম্যানেজারে প্রয়োগ করতে হবে।

তাদের বিশ্লেষণে পরীক্ষকরা দাবি করেছেন যে প্রতিটি পাসওয়ার্ড ম্যানেজারের দ্বারা একটি এনক্রিপশন কীতে মাস্টার পাসওয়ার্ড রূপান্তর করতে ব্যবহৃত অ্যালগরিদম পরীক্ষা করে দেখেছি এবং অ্যালগরিদমের আজকের ক্র্যাকিং আক্রমণগুলির বিরুদ্ধে লড়াইয়ের জটিলতার অভাব রয়েছে।

সুরক্ষা প্রশাসকদের বিশ্লেষণে

1 পাসওয়ার্ড 4 এর ক্ষেত্রে (সংস্করণ 4.6.2.628)), এর অপারেশনাল সুরক্ষা মূল্যায়ন আনলকড অবস্থায় পৃথক পাসওয়ার্ড প্রকাশের বিরুদ্ধে যুক্তিসঙ্গত সুরক্ষা পেয়েছে।

দুর্ভাগ্যক্রমে এটিকে মাস্টার পাসওয়ার্ড পরিচালনা এবং আনলক করা অবস্থা থেকে লক করা অবস্থায় যাওয়ার সময় বিভিন্ন ভাঙ্গা বাস্তবায়নের বিবরণ দ্বারা বাইপাস করা হয়েছিল। মাস্টার পাসওয়ার্ড স্মৃতিতে রয়ে গেছে।

অতএব, 1 পাসওয়ার্ড মাস্টার পাসওয়ার্ডটি স্মৃতি থেকে মোছা না হওয়ায় পুনরুদ্ধার করা যেতে পারে পাসওয়ার্ড ম্যানেজারটিকে একটি লক অবস্থায় রেখে দেওয়ার পরে।

1 পাসওয়ার্ড নেওয়া (সংস্করণ 7.2.576), তাদের অবাক করে দিয়েছিল যে তারা এটি খুঁজে পেয়েছিল এটি আগের সংস্করণে 1 পাসওয়ার্ডের চেয়ে চালানো কম সুরক্ষিত 1 পাসওয়ার্ড 7 এর চেয়ে বেশি হিসাবে এটি ডাটাবেসটিতে সমস্ত স্বতন্ত্র পাসওয়ার্ডকে ক্র্যাক করে ফেলেছে যত তাড়াতাড়ি ডেটা আনলক করা এবং ক্যাশে হওয়ার সাথে সাথে ডেটা পরীক্ষা করে, 1 পাসওয়ার্ড 4 এর বিপরীতে যা একবারে কেবল একটি প্রবেশিকা সংরক্ষণ করে।

উপরন্তু, এছাড়াও পাওয়া গেছে যে 1 পাসওয়ার্ড 7 পৃথক পাসওয়ার্ড সাফ করে না, আনলকড স্টেট থেকে লক অবস্থায় যাওয়ার সময় মাস্টার পাসওয়ার্ড বা গোপন মেমরি কী না।

তারপরে, ড্যাশলেন মূল্যায়নে, প্রক্রিয়াগুলি ইঙ্গিত দেয় যে নিষেধাজ্ঞার ঝুঁকি হ্রাস করতে মেমরির মধ্যে গোপনীয়তা গোপন করার উপর ফোকাস ছিল।

এছাড়াও, জিইউআই এবং মেমরি ফ্রেমের ব্যবহার যা বিভিন্ন অপারেটিং সিস্টেমের এপিআইগুলিতে গোপন সংক্রমণকে বাধা দেয়, ড্যাশলেনের পক্ষে অনন্য ছিল এবং ম্যালওয়্যার দ্বারা এগুলি ছদ্মবেশে প্রকাশ করতে পারে।

লিনাক্সও এর ব্যতিক্রম নয়

অন্যান্য পাসওয়ার্ড পরিচালকদের মতো নয় KeePass এটি একটি ওপেন সোর্স প্রকল্প। 1 পাসওয়ার্ড 4 এর অনুরূপ, কীপাস এন্ট্রিগুলি ইন্টারঅ্যাক্ট করার সাথে সাথে ডিক্রিপ্ট করে।

যাইহোক, তারা সমস্ত স্মৃতিতে থেকে যায় কারণ তারা প্রতিটি মিথস্ক্রিয়া করার পরে পৃথকভাবে মুছে ফেলা হয় না। মাস্টার পাসওয়ার্ডটি মেমরি থেকে মুছে যায় এবং পুনরুদ্ধার করা যায় না।

যাইহোক, কেপাস মেমোরি থেকে মুছে ফেলার মাধ্যমে গোপনীয়তাগুলি সুরক্ষিত করার চেষ্টা করার সময়, এই কর্মপ্রবাহগুলিতে অবশ্যই কিছু বাগ রয়েছে, কারণ আমরা পেয়েছি, তারা বলেছে যে এমনকি একটি লক অবস্থায় থাকা অবস্থায় আমরা যে ইনপুটগুলির সাথে যোগাযোগ করেছি সেগুলি বের করতে পারি।

কেপাসকে একটি লক অবস্থায় রাখার পরেও বাধা প্রবেশগুলি মেমরির মধ্যে থেকে যায়।

অবশেষে, 1 পাসওয়ার্ড 4 এর মতো, আনলক ক্ষেত্রে প্রবেশ করার পরে লাস্টপাস মাস্টার পাসওয়ার্ডটি গোপন করে।

একবার মাস্টার পাসওয়ার্ড থেকে ডিক্রিপশন কী উত্পন্ন হয়ে গেলে, মাস্টার পাসওয়ার্ডটি "লাস্টপাস" শব্দবন্ধ দ্বারা প্রতিস্থাপিত হয়।

উৎস: নিরাপত্তা মূল্যায়নকারী