على مدار الخمسة عشر عامًا الماضية، تطورت أدوات إدارة كلمات المرور من أداة أمنية متخصصة يستخدمها خبراء التكنولوجيا إلى أداة أمنية لا غنى عنها للجماهير، حيث اعتمدها ما يقدر بنحو 94 مليون بالغ أمريكي – أو ما يقرب من 36 بالمائة منهم. فهي لا تخزن كلمات المرور الخاصة بحسابات التقاعد والحسابات المالية وحسابات البريد الإلكتروني فحسب، بل تقوم أيضًا بتخزين بيانات اعتماد العملة المشفرة وأرقام بطاقات الدفع وغيرها من البيانات الحساسة.

اعتمد جميع كبار مديري كلمات المرور الثمانية مصطلح “المعرفة الصفرية” لوصف نظام التشفير المعقد الذي يستخدمونه لحماية خزائن البيانات التي يخزنها المستخدمون على خوادمهم. تختلف التعريفات قليلاً من بائع إلى بائع، ولكنها عمومًا تتلخص في تأكيد واحد جريء: أنه لا توجد وسيلة للمطلعين الخبيثين أو المتسللين الذين يتمكنون من اختراق البنية التحتية السحابية لسرقة الخزائن أو البيانات المخزنة فيها. تبدو هذه الوعود منطقية، نظرا للانتهاكات السابقة لبرنامج LastPass والتوقعات المعقولة بأن المتسللين على مستوى الدولة لديهم الدافع والقدرة على الحصول على خزائن كلمات المرور التي تنتمي إلى أهداف عالية القيمة.

تم فضح التأكيد الجريء

ومن بين هذه الادعاءات تلك التي قدمتها شركات Bitwarden، وDashlane، وLastPass، والتي يستخدمها معًا ما يقرب من 60 مليون شخص. على سبيل المثال، تقول شركة Bitwarden: “حتى فريق Bitwarden لا يمكنه قراءة بياناتك (حتى لو أردنا ذلك).” وفي الوقت نفسه، يقول Dashlane إنه بدون كلمة المرور الرئيسية للمستخدم، “لا يمكن للجهات الخبيثة سرقة المعلومات، حتى لو تم اختراق خوادم Dashlane”. يقول LastPass أنه لا يمكن لأحد الوصول إلى “البيانات المخزنة في قبو LastPass الخاص بك، إلا أنت (ولا حتى LastPass).”

يظهر بحث جديد أن هذه الادعاءات ليست صحيحة في جميع الحالات، خاصة عندما يكون استرداد الحساب قيد التنفيذ أو يتم تعيين مديري كلمات المرور لمشاركة الخزائن أو تنظيم المستخدمين في مجموعات. قام الباحثون بإجراء هندسة عكسية أو تحليل دقيق لـ Bitwarden وDashlane وLastPass وحددوا الطرق التي يمكن من خلالها لشخص لديه سيطرة على الخادم – سواء إداريًا أو نتيجة تسوية – أن يسرق البيانات، وفي بعض الحالات، خزائن بأكملها. ابتكر الباحثون أيضًا هجمات أخرى يمكنها إضعاف التشفير إلى درجة إمكانية تحويل النص المشفر إلى نص عادي.

شاركها.
اترك تعليقاً