بسیاری از متخصصان امنیتی و کارشناسان حوزه نرم افزار به کاربران توصیه می کنند برای ورود به سایت های متفاوت از پسوردهای مختلف استفاده کرده و برای مدیریت این پسوردها از نرم افزارهای موسوم به پسورد منیجر استفاده کنند. حالا اما مطالعه ای جدید نشان داده که خود این نرم افزارها منبعی برای آسیب پذیری بوده و آنقدر هم که فکر می کردیم امن نیستند.
قبل از حذف پسورد منیجر و استفاده دوباره از رمز 1234 بهتر است بدانید که موسسه امنیتی Independent Security Evaluators، به عنوان مجری این مطالعه هنوز هم به کارایی بالاتر این برنامه ها نسبت به رمز عبور تکراری و ضعیف باور دارد.
هکرها با نصب بدافزار قادر به سرقت نام کاربری و رمز عبور خواهند بود
اساس کار پسورد منیجر بدین ترتیب است که یک رمز عبور قوی با عنوان «مستر پسورد» برای خود آن در نظر گرفته و دیگر پسوردهای کاربر در دیتابیس برنامه ذخیره می شوند. مطالعه صورت گرفته نشان می دهد که این اپلیکیشن ها مستر پسورد را به صورت متن آشکار (plaintext) یا رمزنگاری نشده در مموری کامپیوتر ذخیره می کنند.
برنامه های بررسی شده شامل پسورد منیجرهای بسیار محبوب 1Password, Dashlane, KeePass و LastPass است. به گفته این محققان ذخیره مستر پسورد به صورت مذکور برای هکرها تفاوت چندانی با نوشتن رمز روی یک برگه و قرار دادن آن در معرض دید عموم ندارد. محققان ISE از طریق مهندسی معکوس و بازیابی اطلاعات مموری موفق به افشای پسوردهای ذخیره شده در دیتابیس شده اند.
هکرها با دسترسی مستقیم به سیستم یا نصب بدافزار روی کامپیوتر قربانی قادر به تکرار روش های مذکور و به سرقت نام کاربری، رمز عبور و هر داده ذخیره شده در پسورد منیجر خواهند بود. با این حال ISE تاکید کرده که استفاده از پسورد منیجر به مراتب بهتر از بکارگیری رمز عبور ضعیف یا تکراری است.