पासवर्ड मैनेजर उतने सुरक्षित नहीं हैं जितना कि वे दावा करते हैं

ऑनलाइन कनेक्शन अधिक से अधिक हो गए हैं 2010 के दशक के बाद से, विशेष रूप से सोशल मीडिया के आगमन के साथ। कई ऑनलाइन सेवाएं उपयोगकर्ताओं को हर जगह एक ही पासवर्ड का उपयोग न करने के लिए प्रोत्साहित करती हैं।

यहीं पर पासवर्ड मैनेजर आते हैं उपयोगकर्ताओं को उन सभी पासवर्डों को रखने में मदद करने के लिए जिनके पास उनके पास एक सुरक्षा परत है (मेटाडेटा जोड़ें और कई और अधिक)।

पासवर्ड मैनेजर का उपयोग कैसे करें?

पासवर्ड प्रबंधक एन्क्रिप्टेड डेटाबेस से गोपनीय जानकारी के भंडारण और पुनर्प्राप्ति की अनुमति दें।

उपयोगकर्ता लीक के खिलाफ बेहतर सुरक्षा गारंटी देने के लिए उन पर भरोसा करते हैं असुरक्षित पासवर्ड के अन्य साधनों की तुलना में महत्वहीन, जैसे असुरक्षित पाठ फ़ाइलें।

दूसरे शब्दों में, पासवर्ड मैनेजर आपके सभी पासवर्ड को इंटरनेट पर एक जगह पर रख सकते हैं, इसलिए वे बहुत उपयोगी होते हैं।

सब कुछ वैसा नहीं है जैसा वे इसे चित्रित करते हैं

कहा जा रहा है कि, स्वतंत्र सुरक्षा परीक्षकों का एक समूह, आईएसई ने इस सप्ताह बताया कि सबसे लोकप्रिय पासवर्ड प्रबंधकों में कुछ कमजोरियां हैं उपयोगकर्ताओं से पहचान की जानकारी चोरी करने के लिए उनका शोषण किया जा सकता है, यह मानते हुए कि उनका अब तक तीसरे पक्ष द्वारा शोषण नहीं किया गया है।

समूह द्वारा प्रस्तुत रिपोर्ट में, सुरक्षा की गारंटी देता है कि पासवर्ड प्रबंधकों को पांच लोकप्रिय पासवर्ड प्रबंधकों के अंतर्निहित संचालन की पेशकश और जांच करनी चाहिए।

मुफ्त सॉफ्टवेयर भी छूट नहीं है

ये पासवर्ड मैनेजर हैं 1Password, Keepass, Dashlane, और LastPass। नीचे सूचीबद्ध ये सभी पासवर्ड मैनेजर उसी तरह काम करते हैं, जैसा वे कहते हैं।

उपयोगकर्ता सॉफ़्टवेयर में पासवर्ड दर्ज करते हैं या उत्पन्न करते हैं और प्रासंगिक मेटाडेटा जोड़ते हैं (उदाहरण के लिए, सुरक्षा प्रश्नों के उत्तर और वह साइट जिसके लिए पासवर्ड डिज़ाइन किया गया है)।

यह जानकारी एन्क्रिप्ट की जाती है और तब ही डिक्रिप्ट की जाती है, जब स्क्रीन के लिए यह आवश्यक हो कि इसे किसी ब्राउज़र प्लग-इन में संचारित किया जाए, जो किसी वेबसाइट पर पासवर्ड भरता है या इसे उपयोग के लिए क्लिपबोर्ड पर कॉपी करता है।

इनमें से प्रत्येक प्रशासक के लिए, समूह अस्तित्व के तीन राज्यों को परिभाषित करता है: नहीं चल रहा है, अनलॉक किया गया है, और लॉक किया गया है।

पहले राज्य में, पासवर्ड प्रबंधक को एन्क्रिप्शन सुनिश्चित करना होगा ताकि जब तक उपयोगकर्ता तुच्छ पासवर्ड का उपयोग नहीं करता है, तब तक एक हमलावर अचानक पासवर्ड में मास्टर पासवर्ड का अनुमान नहीं लगा सकता है।

दूसरी स्थिति में, मास्टर पासवर्ड को मेमोरी से निकालना संभव नहीं होना चाहिए मूल मास्टर पासवर्ड को पुनर्प्राप्त करने के लिए सीधे या किसी अन्य तरीके से।

और तीसरे राज्य में, एक गैर-सक्रिय पासवर्ड प्रबंधक की सभी सुरक्षा गारंटियों को एक बंद राज्य में एक पासवर्ड मैनेजर पर लागू किया जाना चाहिए।

अपने विश्लेषण में, परीक्षक दावा करते हैं कि मास्टर पासवर्ड को एन्क्रिप्शन कुंजी में बदलने के लिए प्रत्येक पासवर्ड मैनेजर द्वारा उपयोग किए गए एल्गोरिदम की जांच की जाती है और यह कि एल्गोरिथ्म में आज की खुर के हमलों का सामना करने की जटिलता का अभाव है।

सुरक्षा प्रशासकों के विश्लेषण पर

1Password 4 (संस्करण 4.6.2.628 के मामले में)), इसके परिचालन सुरक्षा मूल्यांकन में अनलॉक किए गए राज्य में अलग-अलग पासवर्ड के जोखिम के खिलाफ उचित सुरक्षा मिली।

दुर्भाग्य से यह मास्टर पासवर्ड से निपटने और विभिन्न टूटे हुए कार्यान्वयन विवरणों द्वारा अनलॉक किया गया था जब अनलॉक किए गए राज्य से लॉक किए गए राज्य में जा रहे थे। मास्टर पासवर्ड स्मृति में रहता है।

इसलिए, 1Password मास्टर पासवर्ड को पुनः प्राप्त किया जा सकता है क्योंकि यह मेमोरी से मिटाया नहीं गया है पासवर्ड मैनेजर को बंद अवस्था में रखने के बाद।

1Password लेना (संस्करण 7.2.576), क्या आश्चर्य है कि वे पाया है कि यह अपने पिछले संस्करण में 1Password की तुलना में कम सुरक्षित है 1Password 7 की तुलना में, यह डेटाबेस में सभी अलग-अलग पासवर्ड को क्रैक कर चुका है जैसे ही 1Password 4 के विपरीत डेटा को अनलॉक और कैश किया जाता है, जो एक समय में केवल एक प्रविष्टि संग्रहीत करता है।

इसके अलावा, यह भी पाया कि 1Password 7 व्यक्तिगत पासवर्ड को साफ नहीं करता हैन तो मास्टर पासवर्ड, और न ही गुप्त मेमोरी कुंजी, जब अनलॉक की गई स्थिति से लॉक अवस्था में जा रही हो।

फिर, डैशलेन मूल्यांकन में, प्रक्रियाओं ने संकेत दिया कि निष्कर्षण के जोखिम को कम करने के लिए स्मृति में रहस्यों को छिपाने पर ध्यान केंद्रित किया गया था।

इसके अलावा, जीयूआई और मेमोरी फ्रेम का उपयोग जो विभिन्न ऑपरेटिंग सिस्टम एपीआई के रहस्यों को प्रसारित करने से रोकता है, डैशलेन के लिए अद्वितीय था और मैलवेयर द्वारा ईवेस्कड्रॉपिंग के लिए उन्हें उजागर कर सकता था।

लिनक्स अपवाद नहीं है

अन्य पासवर्ड प्रबंधकों के विपरीत, KeePass यह एक ओपन सोर्स प्रोजेक्ट है। 1Password 4 के समान, KeePass बातचीत के रूप में प्रविष्टियों को डिक्रिप्ट करता है।

हालांकि, वे सभी स्मृति में बने रहते हैं क्योंकि वे प्रत्येक बातचीत के बाद व्यक्तिगत रूप से मिटाए नहीं जाते हैं। मास्टर पासवर्ड को स्मृति से मिटा दिया जाता है और इसे पुनर्प्राप्त नहीं किया जा सकता है।

हालाँकि, जब KeePass उन्हें यादों से मिटाकर रहस्यों को सुरक्षित करने की कोशिश करता है, तो जाहिर तौर पर इन वर्कफ़्लोज़ में कुछ कीड़े होते हैं, क्योंकि हमने पाया, वे कहते हैं, कि एक बंद अवस्था में भी, हम उन आदानों को निकाल सकते हैं जिनके साथ यह बातचीत हुई थी।

KeePass को बंद अवस्था में रखने के बाद भी इंटरप्टेड प्रविष्टियाँ स्मृति में रहती हैं।

अंत में, जैसे 1Password 4, जब यह अनलॉक फ़ील्ड में दर्ज किया जाता है, तो LastPass मास्टर पासवर्ड छुपाता है।

एक बार डिक्रिप्शन कुंजी मास्टर पासवर्ड से ली गई है, मास्टर पासवर्ड को "लास्टपास" वाक्यांश से बदल दिया जाता है।

Fuente: सुरक्षाकर्मी