لقد كانت أشهر قليلة سيئة بالنسبة لمديري كلمات المرور - وإن كان ذلك في الغالب بالنسبة لـ LastPass فقط. ولكن بعد الكشف عن LastPass تعرضت لانتهاك كبير، يتجه الاهتمام الآن إلى مدير المصادر المفتوحة KeePass.
محتويات
- لن يتم إصلاحه
- ما الذي تستطيع القيام به؟
تتصاعد الاتهامات بأن هناك ثغرة أمنية جديدة تسمح للمتسللين بسرقة قاعدة بيانات كلمات المرور بالكامل للمستخدم خلسة في نص عادي غير مشفر. هذا ادعاء خطير للغاية، لكن مطوري KeePass يشككون فيه.
KeePass هو برنامج مفتوح المصدر مدير كلمة السر التي تخزن محتوياتها على جهاز المستخدم، وليس في السحابة مثل العروض المنافسة. ومع ذلك، مثل العديد من التطبيقات الأخرى، يمكن حماية مخزن كلمات المرور الخاص به بكلمة مرور رئيسية.
متعلق ب
- كلمات المرور المحرجة هذه تسببت في اختراق المشاهير
- قامت Google للتو بجعل أداة أمان Gmail الحيوية هذه مجانية تمامًا
- يضيف NordPass دعمًا لمفتاح المرور للتخلص من كلمات المرور الضعيفة
تم تسجيل الثغرة الأمنية باسم CVE-2023-24055، متاح لأي شخص لديه حق الوصول للكتابة إلى نظام المستخدم. وبمجرد الحصول على ذلك، يمكن لممثل التهديد إضافة أوامر إلى ملف تكوين XML الخاص بـ KeePass تصدير قاعدة بيانات التطبيق تلقائيًا - بما في ذلك جميع أسماء المستخدمين وكلمات المرور - إلى ملف غير مشفر ملف نص عادي.
مقاطع الفيديو الموصى بها
بفضل التغييرات التي تم إجراؤها على ملف XML، تتم العملية تلقائيًا في الخلفية، لذلك لا يتم تنبيه المستخدمين إلى أن قاعدة البيانات الخاصة بهم قد تم تصديرها. يمكن لممثل التهديد بعد ذلك استخراج قاعدة البيانات المصدرة إلى جهاز كمبيوتر أو خادم يتحكم فيه.
لن يتم إصلاحه
ومع ذلك، فقد اعترض مطورو KeePass على تصنيف العملية على أنها ثغرة أمنية، منذ أي شخص يمكن لمن لديه حق الوصول للكتابة إلى أحد الأجهزة الحصول على قاعدة بيانات كلمات المرور باستخدام طرق مختلفة (أحيانًا أبسط) طُرق.
بمعنى آخر، بمجرد أن يتمكن شخص ما من الوصول إلى جهازك، فإن هذا النوع من استغلال XML يصبح غير ضروري. يمكن للمهاجمين تثبيت برنامج Keylogger للحصول على كلمة المرور الرئيسية، على سبيل المثال. والمنطق المنطقي هو أن القلق بشأن هذا النوع من الهجوم يشبه إغلاق الباب بعد فرار الحصان. إذا كان لدى أحد المهاجمين حق الوصول إلى جهاز الكمبيوتر الخاص بك، فلن يساعد إصلاح استغلال XML.
الحل، كما يقول المطورون، هو "الحفاظ على البيئة آمنة (باستخدام برنامج مكافحة الفيروسات، وجدار الحماية، وعدم فتح مرفقات البريد الإلكتروني غير المعروفة، وما إلى ذلك)." لا يمكن لـ KeePass أن يعمل بطريقة سحرية بشكل آمن في بيئة غير آمنة.
ما الذي تستطيع القيام به؟
بينما يبدو أن مطوري KeePass غير راغبين في حل المشكلة، إلا أن هناك خطوات يمكنك اتخاذها بنفسك. أفضل ما يمكنك فعله هو إنشاء ملف التكوين القسري. سيكون لهذا الأولوية على ملفات التكوين الأخرى، مما يخفف من أي تغييرات ضارة تجريها قوى خارجية (مثل تلك المستخدمة في ثغرة تصدير قاعدة البيانات).
ستحتاج أيضًا إلى التأكد من عدم حصول المستخدمين العاديين على حق الوصول للكتابة إلى أي ملفات أو مجلدات مهمة موجودة داخل دليل KeePass، وأن كلا من ملف KeePass .exe وملف التكوين المفروض موجودان في نفس الملف مجلد.
وإذا كنت لا تشعر بالارتياح للاستمرار في استخدام KeePass، فهناك الكثير من الخيارات الأخرى. حاول التبديل إلى أحد أفضل مديري كلمات المرور للحفاظ على معلومات تسجيل الدخول وتفاصيل بطاقة الائتمان الخاصة بك أكثر أمانًا من أي وقت مضى.
في حين أن هذه بلا شك أخبار سيئة لعالم مديري كلمات المرور، إلا أن هذه التطبيقات لا تزال تستحق الاستخدام. يمكنهم مساعدتك في الإنشاء كلمات مرور قوية وفريدة من نوعها والتي يتم تشفيرها على جميع أجهزتك. هذا أكثر أمانًا بكثير من باستخدام "123456" لكل حساب.
توصيات المحررين
- قد يسمح هذا الاستغلال الخطير للمتسللين بتجاوز دفاعات جهاز Mac الخاص بك
- ربما يكون المتسللون قد سرقوا المفتاح الرئيسي لمدير كلمات مرور آخر
- لا، لم يتم اختراق 1Password – وهذا ما حدث بالفعل
- إذا كنت تستخدم مدير كلمات المرور المجاني هذا، فقد تكون كلمات المرور الخاصة بك معرضة للخطر
- يكشف LastPass عن كيفية اختراقه، وهذه ليست أخبارًا جيدة
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
