آسیب پذیری ها در مدیران رمزعبور در حال اجرا روی ویندوز 10 مشخص شده است. ارزیابی کنندگان مستقل امنیت مستقر در مریلند در اوایل این هفته گزارشی را منتشر کردند که نتایج معاینه ممنوعیت را در تعدادی از مدیران رمز عبور محبوب منتشر کرد.
آنها گفتند: "در این مقاله ما تضمین های امنیتی را پیشنهاد می دهیم که مدیران رمز عبور باید عملکرد اصلی پنج مدیر رمز عبور محبوب را که روی سیستم عامل ویندوز 10 هدف قرار گرفته اند ، ارائه دهند و بررسی کنند."
اسکراب های موجود در حافظه را هنگام استفاده استفاده نمی کنند؟ این همان چیزی است که مقامات پیش بینی کرده بودند در مورد مدیران رمز عبور اتفاق می افتد. "ضد عفونی کردن حافظه هنگامی که یک مدیر رمزعبور از سیستم خارج شد و در حالت قفل شده قرار گرفت"؟ این همان چیزی است که آنها پیش بینی کردند.
پس چه اتفاقی افتاد؟ آنها گفتند که "استخراج اسرار بی اهمیت از یک مدیر رمزعبور قفل شده ، از جمله رمز ورود اصلی در برخی موارد امکان پذیر است."
چارلی آزبورن در ZDNet با جمع بندی این یافته ها ، نوشت: "ISE توانست در هنگام قفل شدن مدیر رمز عبور ، این رمزهای عبور و سایر اعتبارهای ورود را از حافظه استخراج کند."
عملیات در سال 2017 یک مدیر رمز عبور به عنوان "یک برنامه است که تعریف به یاد کلمه عبور خود را برای شما و ذخیره آنها در طاق رمزگذاری شده است. یک استاد رمز عبور باز طاق هنگامی که شما نیاز به بازیابی رمز عبور و یا ایجاد یک جدید، و آن را بدون وجود هر کسی قادر به خواندن آنچه تایپ کرده روی شانه خود یا پیگیری ورود به سیستم با یک keylogger است. "
آزبورن در یک مثال گفت: "رمز ورود اصلی که کاربران برای دسترسی به حافظه خود باید از آنها استفاده کنند ، در رایانه شخصی در فرمت ساده و قابل خواندن ذخیره شده است."
این اولین باری نیست که نگرانی هایی در مورد قرار دادن تمام تخم مرغ های شما در یک سبد وجود دارد. آخرین باری نیست که همه ضد استدلال ها را می شنوید که به کنار ، خطرناک است که هنوز هم ارزش استفاده از یک مدیر رمز عبور را دارد که به دقت انتخاب شده است.
PCWorld در سال 2017 فقط یکی از بسیاری از سایت ها است که ابراز عقیده می کند "با وجود مشکلات در مورد اشکالات و بازاری در بازار با انتخاب های خوب و بد ، کارشناسان امنیتی موافق هستند - نادر است - این که مدیران رمز عبور امن ترین راه برای مدیریت حساب های خود هستند. منافع امنیتی بسیار بالاتر از خطرات است. "
ثبت نام در سال 2019 حتی با یافته های این گزارش اخیر با آن موافقت خواهد کرد. "مدیران رمز عبور ممکن است جواهرات تاج آنلاین خود را در معرض بدافزارها قرار دهند. اما سلام ، آنها هنوز هم بهتر از جایگزین هستند." این عنوان اوایل هفته بود.
علاوه بر این ، کاستی های امنیتی که توسط ISE آشکار شد ، توسط "ثبت " به عنوان " خفیف آزار دهنده" و "غیر جهانی" توصیف شده است.
این دیدگاه با آنچه جفری گلدبرگ ، توسعه دهنده امنیت 1Password ، از طریق ایمیل به PCMag گفته است ، طنین انداز است . وی اظهار داشت: تهدید واقع بینانه از این موضوع محدود است. "هیچ مدیر رمز عبور (یا هر چیز دیگری) نمی تواند وعده اجرای ایمن بر روی یک کامپیوتر به خطر بیافتد."
نیکلز گفت: "این گزارش به هیچ وجه نشان نمی دهد که نباید از یک مدیر رمز عبور استفاده کنید."
مطمئناً ، نویسندگان کاملاً واضح بودند که یافته های آنها از هیچ نتیجه گیری پشتیبانی نمی کند که مدیران رمزعبور نه تنها بی فایده بلکه خطرناک باشند. نویسندگان ISE گفتند: "مهمترین و مهمترین چیزها ، مدیران رمز عبور چیز خوبی هستند. همه مدیران رمز عبور ما را بررسی کرده ایم به وضعیت امنیتی مدیریت اسرار اضافه می کنند و همانطور که تروی هانت ، یک محقق فعال امنیتی یک بار نوشت ،" مدیران رمز عبور لازم نیست که کاملاً باشید ، فقط باید بهتر از نداشتن یکی باشند. "
هدف آنها در این مقاله "انتقاد از پیاده سازی های خاص مدیر رمز عبور" نبود ، بلکه "ایجاد یک مبنای حداقل معقول منطقی بود که همه مدیران رمز عبور باید از آن پیروی کنند."
در کل ، فرد در حال جستجوی مسئله مدیریت رمز عبور است که عمدتا "مدیریت حافظه ایمن" است.
Shaun Nichols در ثبت نام موضوع مشترکی را بین چهار مدیر رمز عبور مشاهده کرد که گذرواژهها - "یا گذرواژه اصلی یا اعتبار شخصی" را در حافظه در دسترس دارند. "
نویسندگان گزارش در نتیجه گیری های خود خاطرنشان کردند: "هر مدیر رمز عبور نیز سعی داشت اسرار را از حافظه پاک کند. اما بافرهای باقیمانده اسرار موجود هستند که احتمالاً به دلیل نشت حافظه ، از دست رفتن منابع حافظه از دست رفته یا چارچوب های پیچیده GUI است که حافظه داخلی را در معرض نمایش نمی گذارند. مکانیسم های مدیریت برای تصفیه اسرار ".
آسیب پذیری ها در مدیران رمزعبور در حال اجرا روی ویندوز 10 مشخص شده است. ارزیابی کنندگان مستقل امنیت مستقر در مریلند در اوایل این هفته گزارشی را منتشر کردند که نتایج معاینه ممنوعیت را در تعدادی از مدیران رمز عبور محبوب منتشر کرد.
آنها گفتند: "در این مقاله ما تضمین های امنیتی را پیشنهاد می دهیم که مدیران رمز عبور باید عملکرد اصلی پنج مدیر رمز عبور محبوب را که روی سیستم عامل ویندوز 10 هدف قرار گرفته اند ، ارائه دهند و بررسی کنند."
اسکراب های موجود در حافظه را هنگام استفاده استفاده نمی کنند؟ این همان چیزی است که مقامات پیش بینی کرده بودند در مورد مدیران رمز عبور اتفاق می افتد. "ضد عفونی کردن حافظه هنگامی که یک مدیر رمزعبور از سیستم خارج شد و در حالت قفل شده قرار گرفت"؟ این همان چیزی است که آنها پیش بینی کردند.
پس چه اتفاقی افتاد؟ آنها گفتند که "استخراج اسرار بی اهمیت از یک مدیر رمزعبور قفل شده ، از جمله رمز ورود اصلی در برخی موارد امکان پذیر است."
چارلی آزبورن در ZDNet با جمع بندی این یافته ها ، نوشت: "ISE توانست در هنگام قفل شدن مدیر رمز عبور ، این رمزهای عبور و سایر اعتبارهای ورود را از حافظه استخراج کند."
عملیات در سال 2017 یک مدیر رمز عبور به عنوان "یک برنامه است که تعریف به یاد کلمه عبور خود را برای شما و ذخیره آنها در طاق رمزگذاری شده است. یک استاد رمز عبور باز طاق هنگامی که شما نیاز به بازیابی رمز عبور و یا ایجاد یک جدید، و آن را بدون وجود هر کسی قادر به خواندن آنچه تایپ کرده روی شانه خود یا پیگیری ورود به سیستم با یک keylogger است. "
آزبورن در یک مثال گفت: "رمز ورود اصلی که کاربران برای دسترسی به حافظه خود باید از آنها استفاده کنند ، در رایانه شخصی در فرمت ساده و قابل خواندن ذخیره شده است."
این اولین باری نیست که نگرانی هایی در مورد قرار دادن تمام تخم مرغ های شما در یک سبد وجود دارد. آخرین باری نیست که همه ضد استدلال ها را می شنوید که به کنار ، خطرناک است که هنوز هم ارزش استفاده از یک مدیر رمز عبور را دارد که به دقت انتخاب شده است.
PCWorld در سال 2017 فقط یکی از بسیاری از سایت ها است که ابراز عقیده می کند "با وجود مشکلات در مورد اشکالات و بازاری در بازار با انتخاب های خوب و بد ، کارشناسان امنیتی موافق هستند - نادر است - این که مدیران رمز عبور امن ترین راه برای مدیریت حساب های خود هستند. منافع امنیتی بسیار بالاتر از خطرات است. "
ثبت نام در سال 2019 حتی با یافته های این گزارش اخیر با آن موافقت خواهد کرد. "مدیران رمز عبور ممکن است جواهرات تاج آنلاین خود را در معرض بدافزارها قرار دهند. اما سلام ، آنها هنوز هم بهتر از جایگزین هستند." این عنوان اوایل هفته بود.
علاوه بر این ، کاستی های امنیتی که توسط ISE آشکار شد ، توسط "ثبت " به عنوان " خفیف آزار دهنده" و "غیر جهانی" توصیف شده است.
این دیدگاه با آنچه جفری گلدبرگ ، توسعه دهنده امنیت 1Password ، از طریق ایمیل به PCMag گفته است ، طنین انداز است . وی اظهار داشت: تهدید واقع بینانه از این موضوع محدود است. "هیچ مدیر رمز عبور (یا هر چیز دیگری) نمی تواند وعده اجرای ایمن بر روی یک کامپیوتر به خطر بیافتد."
نیکلز گفت: "این گزارش به هیچ وجه نشان نمی دهد که نباید از یک مدیر رمز عبور استفاده کنید."
مطمئناً ، نویسندگان کاملاً واضح بودند که یافته های آنها از هیچ نتیجه گیری پشتیبانی نمی کند که مدیران رمزعبور نه تنها بی فایده بلکه خطرناک باشند. نویسندگان ISE گفتند: "مهمترین و مهمترین چیزها ، مدیران رمز عبور چیز خوبی هستند. همه مدیران رمز عبور ما را بررسی کرده ایم به وضعیت امنیتی مدیریت اسرار اضافه می کنند و همانطور که تروی هانت ، یک محقق فعال امنیتی یک بار نوشت ،" مدیران رمز عبور لازم نیست که کاملاً باشید ، فقط باید بهتر از نداشتن یکی باشند. "
هدف آنها در این مقاله "انتقاد از پیاده سازی های خاص مدیر رمز عبور" نبود ، بلکه "ایجاد یک مبنای حداقل معقول منطقی بود که همه مدیران رمز عبور باید از آن پیروی کنند."
در کل ، فرد در حال جستجوی مسئله مدیریت رمز عبور است که عمدتا "مدیریت حافظه ایمن" است.
Shaun Nichols در ثبت نام موضوع مشترکی را بین چهار مدیر رمز عبور مشاهده کرد که گذرواژهها - "یا گذرواژه اصلی یا اعتبار شخصی" را در حافظه در دسترس دارند. "
نویسندگان گزارش در نتیجه گیری های خود خاطرنشان کردند: "هر مدیر رمز عبور نیز سعی داشت اسرار را از حافظه پاک کند. اما بافرهای باقیمانده اسرار موجود هستند که احتمالاً به دلیل نشت حافظه ، از دست رفتن منابع حافظه از دست رفته یا چارچوب های پیچیده GUI است که حافظه داخلی را در معرض نمایش نمی گذارند. مکانیسم های مدیریت برای تصفیه اسرار ".
پمپ وکیوم خلاء حلقه مایع برای فشار خلاء