Web Tabanlı Şifre Yönetim Programlarındaki Gizli Tehlike

Web Tabanlı Şifre Yönetim Programlarındaki Gizli Tehlike
Emircan Erdoğan
Emircan Erdoğan - | Güvenlik
YORUM YAZ

Web tabanlı şifre yönetim programları pek çok kişi tarafından kullanılmakta. Çevrimiçi sunulan ve üyelik gerektiren servislerin sayısı fazlalaştıkça kullanıcılar da profil bilgilerini ve şifrelerini güvenle saklayabilmek için bu servislerden faydalanıyor. Fakat özellikle birkaç ay önce ortaya çıkan ve internet dünyasında büyük yankı uyandıran güvenlik açığı Heartbleed’den sonra çevrimiçi sevislerin ne kadar güvenilir olduğu sorgulanır hale geldi.

En kötü senaryoya göre birisi sizin ana şifrenizi ele geçirirse o şifreyi kullanarak koruduğunuz diğer şifrelerinizi de ele geçirecektir. Bu duruma bir kez düştüğünüzde geri dönüşü oldukça zor çünkü siz durumun farkına vardığınızda kötü niyetli kişiler şifrelerinizi çoktan değiştirmiş olacaktır.

California Berkeley Üniversitesi’nden bir grup güvenlik araştırmacısının yayınladığı rapora göre web tabanlı şifre yönetim programlarının sanıldığı kadar güvenli olmadığı dile getirildi. Rapora göre bu servisler kötü niyetli kişilerin saldırıları karşısında kolayca açık verebilir ve kullanıcı bilgilerini savunmasız bırakabilir.

Örneğin LastPass’ın kullanıcı isimlerini ve şifrelerini otomatik olarak dolduran fonksiyonu bu tür güvenlik açıklarına mahal verebilecek potansiyel sahip. Ziyaret edilen siteye yerleştirilebilecek bir kod sayesinde kullanıcı bilgileri kolayca ele geçirilebilir. LastPass konuya ilişkin yaptığı açıklamada ana şifresini en son 2013 Eylül’den önce değiştirmiş herkesin şifresini yenilemesi gerektiğini vurguladı. LassPass’ın etkilendiği bu sorun elbette PasswordBox, RoboForm, my1login ve NeedMyPassword için de geçerli. İyi haber ise 1Password gibi web tabanlı olmayan programların bu açıktan etklienmiyor olması.

En İyi Şifre Yönetim Programları

YORUMLAR