पासवर्ड मैनेजर अध्ययन से पता चलता है कि हमलावरों के लिए पासवर्ड उजागर हो सकते हैं

• श्रेणी: सुरक्षा

समस्याओं को खत्म करने के लिए हमारे साधन का प्रयास करें

ऑपरेटिंग सिस्टम का चयन करें Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro प्रक्षेपण का एक कार्यक्रम चुनें (वैकल्पिक रूप से) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

अपनी समस्या का वर्णन करें

उत्तर पाएं

मुझे ईमेल द्वारा भेजें साइट पर दिखाओ

पासवर्ड मैनेजर का उपयोग करना उन कुछ विकल्पों में से एक है, जिन्हें आपको अपने सभी ऑनलाइन खातों को सुरक्षित बनाने के लिए सुनिश्चित करना है, पासवर्ड का अनुमान लगाना असंभव है।

इसका मुख्य कारण यह है कि अधिकांश इंटरनेट उपयोगकर्ताओं को दर्जनों या सैकड़ों वेब सेवाओं के लिए सुरक्षित पासवर्ड याद रखना असंभव है, जब तक कि वे सरल बुनियादी नियमों का उपयोग नहीं करते हैं या एक ही पासवर्ड का बार-बार उपयोग नहीं करते हैं।

जबकि फ़ायरफ़ॉक्स या Google क्रोम जैसे वेब ब्राउज़र पासवर्ड प्रबंधकों की एक बहुतायत उपलब्ध कराते हैं, यह आमतौर पर एक पासवर्ड प्रबंधक का चयन करने के लिए नीचे आता है जो उन विशेषताओं की पेशकश कर रहा है जिनकी आपको आवश्यकता है।

पासवर्ड मैनेजर की वास्तविक सुरक्षा, यह पासवर्ड को कैसे संभालता है, जब यह उन्हें सर्वर पर भेजता है और जब नहीं, वास्तव में ज्यादातर समय पारदर्शी नहीं होता है।

मार्क ब्लांचो और पॉल यॉन द्वारा हाल ही में किए गए एक अध्ययन 'पासवर्ड मैनेजर्स एक्सपोजिंग पासवर्ड्स एवरीवेयर' Isecpartners विश्लेषण किया जाता है कि कैसे ब्राउज़र-आधारित पासवर्ड प्रबंधक सक्रिय होने पर वेबसाइटों के साथ बातचीत करते हैं।

शोधकर्ताओं ने Chrome और फ़ायरफ़ॉक्स के लिए LastPass, IPassword और MaskMe और Chrome के लिए OneLastPass की जाँच की। विशेष रूप से, उन्होंने देखा कि कब और कैसे उन पासवर्ड प्रबंधकों ने पासवर्ड की जानकारी भरी।

परिणाम पासवर्ड प्रबंधकों के उपयोगकर्ताओं के लिए एक आश्चर्य के रूप में आ सकता है, लेकिन सभी चार परीक्षा कार्यक्रमों में एक या दूसरे तरीके से दुर्व्यवहार करने के लिए पाया गया है।

HTTP बनाम HTTPS : MaskMe पासवर्ड प्रबंधक HTTP और HTTPS योजनाओं के बीच अंतर नहीं करता है, जिसका अर्थ है कि यह योजना की परवाह किए बिना पासवर्ड फॉर्म भर देगा। इसका उदाहरण के लिए मानव-में-मध्य हमलों द्वारा शोषण किया जा सकता है।

एक व्यक्ति-में-मध्य हमलावर, एक सार्वजनिक वायरलेस नेटवर्क पर कहता है, लोकप्रिय वेबसाइटों के नकली HTTP संस्करणों के लिए बस पीड़ितों को रीडायरेक्ट कर सकता है लॉगिन मोड और जावास्क्रिप्ट के साथ स्वत: सबमिट करने के बाद जब वे MaskMe द्वारा स्वचालित रूप से भरे जाते हैं। ऑटो-फिल सक्षम (यह डिफ़ॉल्ट व्यवहार है) के साथ MaskMe का उपयोग करने वाला कोई भी व्यक्ति बहुत जल्दी अपने पासवर्ड को दुर्भावनापूर्ण एक्सेस पॉइंट से कनेक्ट करके चुरा सकता है, और पीड़ितों को कभी पता नहीं चलेगा।

मूल के पार पासवर्ड जमा करना : LastPass, OneLastPass और MaskMe को पासवर्ड एरोस ओरिजिन सबमिट करने के लिए मिला था। इसका मतलब यह है कि प्रभावित पासवर्ड प्रबंधक साइट पर प्रमाणीकरण जानकारी भरेंगे और भेजेंगे, भले ही वह पता सबमिट किया गया हो, जो उस साइट से अलग है, जिस पर उपयोगकर्ता है।

उप डोमेन को अनदेखा करें: सभी चार पासवर्ड मैनेजर रूट डोमेन के बराबर उप डोमेन संभालते हैं। इसका मतलब यह है कि लॉगिन जानकारी रूट डोमेन पर भरी जाती है, लेकिन एक ही डोमेन नाम के सभी उप डोमेन पर भी।

लॉगिन वाला पन्ना : अध्ययन में परीक्षण किए गए सभी पासवर्ड प्रबंधक अपनी गतिविधियों को एक लॉगिन पृष्ठ पर सीमित नहीं करते हैं जो पहले उपयोगकर्ता द्वारा उपयोग किया गया था। यदि एक डोमेन नाम के लिए एक लॉगिन सहेजा गया है, तो उस डोमेन नाम पर सभी लॉगिन फ़ॉर्म इस तरह से संभाले जाते हैं, भले ही वे पहले इस्तेमाल किए गए हों या नहीं।

ये प्रथाएं, कुछ ने सुविधा के लिए इस तरह से संभाला, उपयोगकर्ताओं को खतरे में डाल सकती हैं, क्योंकि हमलावर पासवर्ड की जानकारी चोरी करने के लिए इन मुद्दों का उपयोग कर सकते हैं।

शोधकर्ताओं का सुझाव है कि उपयोगकर्ता ऑटो-फिल और ऑटो-लॉगिन कार्यक्षमता का उपयोग नहीं करते हैं जो कुछ पासवर्ड प्रबंधक प्रदान करते हैं। सभी कंपनियों को परिणामों के बारे में सूचित कर दिया गया है।