كتب vulnerabilities
اذا لم تجد ما تبحث عنه يمكنك استخدام كلمات أكثر دقة.
الثغرات الأمنية (معلومة)
إذا تم تخزين كلمات المرور بطريقة غير مشفرة، فلا يزال من الممكن عمومًا الحصول على كلمات المرور الممنوحة للوصول المحلي إلى الجهاز.
يستخدم بعض مدراء كلمة المرور كلمة مرور رئيسية أو عبارة مرور خاصة من قبل المستخدم لتشكيل المفتاح المستخدم لتشفير كلمات المرور المحمية. يعتمد أمان هذا النهج على قوة كلمة المرور التي تم اختيارها (والتي قد يتم تخمينها أو فرضها قسوة) ، وأيضًا أن عبارة المرور نفسها لا يتم تخزينها محليًا حيث يمكن لبرنامج خبيث أو فرد بأن يقرأها. كلمة مرور رئيسية مخترقة من شأنها بأن تجعل جميع كلمات المرور المحمية عرضة للخطر.
كما هو الحال مع أي نظام يتضمن بأن المستخدم عليه إدخال كلمة مرور، قد تتم مهاجمة كلمة المرور الرئيسية أيضًا واكتشافها باستخدام برامج تسجيل لوحات المفاتيح أو تحليل التشفير الصوتي. يحاول بعض مديري كلمات المرور استخدام لوحات المفاتيح الافتراضية لتقليل هذا الخطر - على الرغم من أن ذلك لا يزال عرضة لضروريات التسجيل التي تلتقط لقطات الشاشة عند إدخال البيانات. يمكن تخفيف هذا الخطر باستخدام جهاز تحقق متعدد العوامل.
يتضمن بعض مدراء كلمات المرور مولدات لكلمة المرور. قد يتم تخمين كلمات المرور التي تم إنشاؤها إذا كان مدير كلمات المرور يستخدم منشئ أرقام عشوائي ضعيف بدلاً من كلمة مرور آمنة.
سيتضمن أيضاً في مدير كلمات المرور القوي بأن يعالج عددًا محدودًا من إدخالات المصادقة الخاطئة المسموح بها قبل إغلاق مدير كلمة المرور ويتطلب إعادة تنشيط خدمات تكنولوجيا المعلومات. هذه هي أفضل طريقة للحماية من هجوم القوة الغاشمة/القوة العمياء.
يتيح مدير كلمات المرور للذين لا يمنعون بتبديل ذاكرتهم إلى محرك الأقراص الثابتة استخراج كلمات المرور غير المشفرة من القرص الصلب للكمبيوتر، حيث أن إيقاف تشغيل المبادلة هذه يمكن أن تمنع هذا الخطر.
تطبيق مدير كلمة المرور الذي يكون ويعمل على شبكة الإنترنت، والذي يعمل داخل متصفح المستخدم، هو بحقيقة الأمر محفوف ومُعرض بشكل خاص بالمخاطر. كشفت دراسة مفصلة باستخدام العديد من مديري كلمات المرور عن العيوب المحتملة التالية داخل مديري كلمات المرور على الويب:
عيوب التخويل: هناك مشكلة أخرى محتملة تتمثل في الخلط بين المصادقة والترخيص. وجد الباحثين المختصين بهذا المجال بأن العديد من تطبيقات مدير كلمة المرور على شبكة الإنترنت، في وقت واحد من الزمن، قد تمثل هذه العيوب. كانت هذه المشكلات موجودة بشكل خاص في مديري كلمة المرور مما سمح للمستخدمين بمشاركة بيانات الاعتماد مع مستخدمين آخرين.
عيوب Bookmarklet: يعتمد مديرو كلمة المرور على الويب بشكل عام على Bookmarklets لتسجيل الدخول للمستخدمين. ومع ذلك، إذا تم تطبيق موقع ويب ضار بشكل غير صحيح، فيمكنه إساءة استخدام هذا لسرقة كلمة مرور المستخدم. السبب الرئيسي لمثل هذه الثغرات الأمنية هو أن بيئة جافا سكريبت لموقع ويب ضار لا يمكن الوثوق بها "بصريح العبارة".
عيوب واجهة المستخدم: سيطلب بعض مديري كلمات المرور من المستخدم تسجيل الدخول عبر iframe. يمكن أن يمثل هذا مخاطرة أمنية لأنه يدرب المستخدم على ملء كلمة المرور الخاصة به في حين أن عنوان URL المعروض من قبل المتصفح ليس هو مدير كلمات المرور. يمكن للمخادع أو المخترق إساءة استخدام ذلك عن طريق إنشاء إطار مزيف والتقاط بيانات اعتماد المستخدم. قد يكون الأسلوب الأكثر أمانًا هو فتح علامة تبويب جديدة حيث يمكن للمستخدمين تسجيل الدخول إلى مدير كلمات المرور.
عيوب الويب: يمكن أن تكون ثغرات الويب الكلاسيكية موجودة أيضًا في مديري كلمات المرور على الويب. على وجه الخصوص، قد يتم استغلال الثغرات الأمنية الشائعة في الويب مثل XSS و CSRF بواسطة المتسللين والمخترقين للحصول على كلمة مرور المستخدم.
علاوة على ذلك، فإن مدراء كلمة المرور لديهم عيب في أن أي قرصنة محتملة أو برامج ضارة تحتاج فقط إلى معرفة كلمة مرور واحدة للوصول إلى جميع كلمات مرور المستخدم، وأن هؤلاء المديرين لديهم مواقع موحدة وطرق لتخزين كلمات المرور التي يمكن استغلالها بواسطة البرامج الضارة.
