التقييم الأمني لتوليد كلمات المرور وتخزينها والملء التلقائي في مديري كلمات المرور المستندة إلى المتصفح

1. المقدمة

لا يزال المصادقة القائمة على كلمات المرور هي الشكل السائد للمصادقة على الويب على الرغم من التحديات الأمنية الموثقة جيدًا. يواجه المستخدمون عبئًا إدراكيًا في إنشاء وتذكر كلمات مرور قوية وفريدة، مما يؤدي إلى إعادة استخدام كلمات المرور وإنشاء بيانات اعتماد ضعيفة. تقدم مديرو كلمات المرور حلاً محتملاً من خلال توليد كلمات المرور وتخزينها وملئها تلقائيًا. ومع ذلك، فقد شككت الأبحاث السابقة في أمانها. تقدم هذه الورقة تقييمًا أمنيًا محدثًا وشاملاً لثلاثة عشر مدير كلمات مرور شائعًا يعتمد على المتصفح، يغطي دورة الحياة الكاملة: التوليد، والتخزين، والملء التلقائي.

2. المنهجية والنطاق

تقيِّم الدراسة ثلاثة عشر مدير كلمات مرور، بما في ذلك خمسة إضافات متصفح (مثل LastPass، 1Password)، وستة مديرين مدمجين في المتصفح (مثل Chrome، Firefox)، واثنين من برامج سطح المكتب للمقارنة. يعمل إطار التقييم على تكرار وتوسيع العمل السابق لـ Li وآخرون (2014)، وSilver وآخرون (2014)، وStock & Johns (2015). يتم هيكلة التحليل حول المراحل الأساسية الثلاث لدورة حياة مدير كلمات المرور.

3. تحليل توليد كلمات المرور

يقيِّم هذا القسم العشوائية وقوة كلمات المرور التي تم إنشاؤها بواسطة المديرين الذين تمت دراستهم، من خلال تحليل مجموعة مكونة من 147 مليون كلمة مرور تم إنشاؤها.

3.1. تحليل توزيع الأحرف

كشف التحليل عن عدة حالات لتوزيعات أحرف غير عشوائية في كلمات المرور المُنشأة. أظهر بعض المديرين تحيزًا في اختيار الأحرف، مما يقلل من الإنتروبيا الفعالة لكلمة المرور.

3.2. اختبارات الإنتروبيا والعشوائية

تم تطبيق اختبارات إحصائية، بما في ذلك اختبارات العشوائية NIST SP 800-22. بينما كانت معظم كلمات المرور الطويدة قوية، أظهرت كلمات المرور القصيرة (أقل من 18 حرفًا) من بعض المديرين أنماطًا تنحرف عن العشوائية الحقيقية.

3.3. قابلية التعرض لهجمات التخمين

كانت النتيجة الأكثر خطورة هي أن نسبة صغيرة من كلمات المرور القصيرة المُنشأة (أقل من 10 أحرف) كانت عرضة لهجمات التخمين عبر الإنترنت، وكانت كلمات المرور التي تقل عن 18 حرفًا عرضة بشكل محتمل لهجمات متطورة خارج الشبكة، مما يتعارض مع افتراض التوليد "القوي".

4. أمان تخزين كلمات المرور

يتناول هذا القفح كيفية تشفير كلمات المرور وتخزينها محليًا و/أو في السحابة.

4.1. التشفير وإدارة المفاتيح

بينما تحسَّن تشفير كلمات المرور الأساسي منذ الدراسات السابقة، تختلف ممارسات إدارة المفاتيح بشكل كبير. يعتمد بعض المديرين فقط على كلمة مرور رئيسية مع وظائف اشتقاق مفاتيح ضعيفة (KDFs).

4.2. حماية البيانات الوصفية

كان العيب الحاسم الذي تم تحديده هو تخزين البيانات الوصفية غير المشفرة (مثل عناوين URL للمواقع، وأسماء المستخدمين) من قبل عدة مديرين. يمكن أن يسهم تسرب هذه البيانات الوصفية بشكل كبير في الهجمات المستهدفة ويُعرِّض خصوصية المستخدم للخطر.

4.3. تحليل الإعدادات الافتراضية

وجدت الدراسة أن عدة مديري كلمات مرور يتم شحنها بإعدادات افتراضية غير آمنة، مثل تمكين الملء التلقائي على جميع المواقع افتراضيًا أو استخدام إعدادات توليد أضعف، مما يضع عبء الأمان على عاتق المستخدم.

5. نقاط ضعف آلية الملء التلقائي

تقدم ميزة الملء التلقائي، المصممة لسهولة الاستخدام، أسطح هجوم كبيرة.

5.1. هجمات اختطاف النقر وإعادة توجيه واجهة المستخدم

وجد أن عدة مديرين عرضة لهجمات اختطاف النقر، حيث يضع موقع ضار عناصر غير مرئية فوق واجهة المستخدم الشرعية لخداع المستخدمين لتفعيل الملء التلقائي على النطاق الخاطئ.

5.2. مخاطر البرمجة النصية عبر المواقع (XSS)

يمكن استغلال آليات الملء التلقائي التي تحقن بيانات الاعتماد في حقول DOM عبر ثغرات XSS على مواقع ويب موثوقة بخلاف ذلك، مما يؤدي إلى الاستيلاء على بيانات الاعتماد.

5.3. هجمات حقن الشبكة

يمكن أن يكون المديرون الذين يقومون بطلبات شبكة لجلب بيانات الاعتماد أو مزامنتها عرضة لهجمات رجل في المنتصف (MITM) إذا لم يتم فرض TLS بشكل صارم أو إذا تم اختراق آلية التحديث.

6. النتائج والتحليل المقارن

يُظهر التقييم أنه بينما تحسَّن الأمان على مدى السنوات الخمس الماضية، لا تزال هناك نقاط ضعف كبيرة عبر النظام البيئي. لم يكن أي مدير واحد خاليًا من العيوب في جميع الفئات الثلاث (التوليد، التخزين، الملء التلقائي). غالبًا ما كان لدى مديري المتصفح المدمجين منطق ملء تلقائي أبسط ولكن ميزات توليد وتخزين أضعف. قدمت الإضافات المخصصة ميزات أكثر ولكنها أدخلت تعقيد هجوم أكبر. تحدد الورقة مديرين محددين أظهروا العيوب المشتركة الأكثر خطورة ويجب استخدامهم بحذر.

7. التوصيات والاتجاهات المستقبلية

تختتم الورقة بتوصيات قابلة للتنفيذ:

• للمطورين: تشفير جميع البيانات الوصفية؛ استخدام مولدات أرقام عشوائية آمنة ومدققة (CSPRNGs)؛ تنفيذ تدابير قوية مضادة لاختطاف النقر (مثل كسر الإطارات، اشتراط إيماءة المستخدم)؛ اعتماد إعدادات افتراضية آمنة.
• للمستخدمين: اختيار مديرين بسجل قوي؛ تمكين جميع ميزات الأمان المتاحة (المصادقة الثنائية، تسجيل الخروج التلقائي)؛ استخدام كلمات مرور طويدة يتم إنشاؤها آليًا؛ الحذر مع الملء التلقائي.
• للباحثين: استكشاف التحقق الرسمي من منطق الملء التلقائي؛ تطوير بنى جديدة تفصل تخزين بيانات الاعتماد عن سياق المتصفح الضعيف؛ توحيد معايير تقييم الأمان لمديري كلمات المرور.

8. التحليل الأصلي وتعليقات الخبراء

9. التفاصيل التقنية والإطار الرياضي

يعتمد تقييم عشوائية توليد كلمات المرور على قياس إنتروبيا شانون وتطبيق الاختبارات الإحصائية. الإنتروبيا $H$ لسلسلة كلمة مرور مُنشأة $S$ بطول $L$، مكونة من مجموعة أحرف $C$ بحجم $N$، هي بشكل مثالي:

$H(S) = L \cdot \log_2(N)$

على سبيل المثال، كلمة مرور مكونة من 12 حرفًا تستخدم الأحرف الكبيرة، والصغيرة، والأرقام، و10 رموز ($N = 72$) لها إنتروبيا قصوى نظرية قدرها $H_{max} = 12 \cdot \log_2(72) \approx 12 \cdot 6.17 = 74$ بت.

حددت الدراسة حالات حيث كانت الإنتروبيا الفعالة $H_{eff}$ أقل بسبب توزيع أحرف غير منتظم أو أنماط يمكن التنبؤ بها، مما يجعل كلمة المرور عرضة لهجمات التخمين حيث يتم تقليل مساحة البحث. احتمال تخمين ناجح في هجوم خارج الشبكة مع $G$ تخمين هو:

$P(guess) \approx \frac{G}{2^{H_{eff}}}$

تسلط هذه الصيغة الضوء على سبب جعل الانخفاض من 74 إلى 60 بت من الإنتروبيا الفعالة هجومًا خارج الشبكة أكثر قابلية للتنفيذ بمليارات المرات.

10. النتائج التجريبية وتصور البيانات

وصف الرسم البياني (الشكل 3 - تصوري): رسم بياني شريطي يقارن بين مديري كلمات المرور الثلاثة عشر (تمت إزالة هويتهم كـ PM-A إلى PM-M) عبر ثلاث درجات مخاطر موحدة: درجة عيب التوليد (بناءً على انحراف الإنتروبيا وضعف كلمات المرور القصيرة)، درجة مخاطر التخزين (بناءً على تشفير البيانات والبيانات الوصفية، قوة المفتاح)، ودرجة قابلية التعرض للملء التلقائي (بناءً على القابلية لاختطاف النقر، XSS). سيظهر الرسم البياني أنه بينما يسجل بعض المديرين (مثل PM-C، PM-F) جيدًا في التخزين، فإن لديهم قابلية عالية للتعرض للملء التلقائي. والبعض الآخر (مثل PM-B) لديه توليد قوي ولكن إعدادات تخزين افتراضية ضعيفة. لا يوجد مدير لديه درجات منخفضة عبر جميع الفئات الثلاث، مما يعزز بشكل مرئي صورة المفاضلات.

نقطة البيانات: وجد تحليل مجموعة 147 مليون كلمة مرور أن حوالي 0.1٪ من كلمات المرور المُنشأة التي تقل عن 10 أحرف كان لها إنتروبيا فعالة أقل من 30 بت، مما يضعها ضمن نطاق هجمات التخمين عبر الإنترنت المصرَّفة.

11. إطار التحليل ودراسة الحالة

تطبيق الإطار: شجرة قرار الملء التلقائي

لفهم نقاط ضعف الملء التلقائي، يمكننا نمذجة منطق المدير كشجرة قرار. قد يكون التدفق المنطقي المبسط وغير الآمن كما يلي:

1. المشغل: يركز المستخدم على حقل كلمة مرور أو ينقر على زر مكتوب عليه "ملء كلمة المرور".
2. مطابقة النطاق: هل نطاق URL للتب الحالي (مثل evil.com) يطابق نطاق بيانات اعتماد مخزنة (مثل bank.com)؟ إذا كانت الإجابة نعم، تابع. (نقطة الضعف: من السهل انتحالها باستخدام iframes أو نطاقات متشابهة المظهر).
3. تأكيد المستخدم: هل يتطلب المدير موافقة صريحة من المستخدم (مثل النقر على نافذة منبثقة للخزنة)؟ إذا كانت الإجابة لا، قم بالملء التلقائي. (نقطة الضعف: يمكن لاختطاف النقر محاكاة هذا النقر).
4. حقن الحقل: حقن اسم المستخدم/كلمة المرور في حقول HTML المحددة. (نقطة الضعف: يمكن لـ XSS اعتراض أو تعديل هذا الحقن).

دراسة الحالة - هجوم اختطاف النقر: ينشئ المهاجم موقع evil.com يضم iframe مخفيًا يشير إلى bank.com/login. ثم يضع المهاجم زر "ملء كلمة المرور" شفافًا من واجهة مستخدم مدير كلمات المرور (مصمم ليطابق evil.com) مباشرة فوق حقل كلمة المرور في iframe المخفي. المستخدم، بقصد ملء حقل مزيف على evil.com، ينقر على الطبقة الشفافة، مما يؤدي إلى تشغيل المدير لملء بيانات الاعتماد في iframe المخفي bank.com، مكتملًا السرقة. يستغل هذا الهجوم الإخفاقات في الخطوتين 2 (مطابقة النطاق في سياقات الصفحة المعقدة) و 3 (عدم وجود تحقق قوي من نية المستخدم).

12. التطبيقات المستقبلية وآفاق الصناعة

يكمن مستقبل مديري كلمات المرور في التحرك إلى ما وراء كونهم مجرد "إضافات متصفح" ليصبحوا كيانات أمنية متكاملة مدعومة بالأجهزة.

• التكامل مع الأجهزة: الاستفادة من وحدات المنصة الموثوقة (TPMs)، أو الملاذات الآمنة (Apple Silicon، Intel SGX)، أو مفاتيح الأمان المخصصة (YubiKey) لعزل المفتاح الرئيسي وأخذ قرارات الملء التلقائي في بيئة تنفيذ موثوقة، بعيدًا عن المتصفح المخترق.
• واجهات برمجة التطبيقات الموحدة: تطوير واجهة برمجة تطبيقات قياسية للمتصفح، مصرح بها (مثل خليفة لواجهة chrome.autofill القديمة) تمنح المديرين وصولاً آمنًا وموحدًا إلى حقول النموذج مع السماح للمتصفحات بفرض سياسات الأمان (مثل فحوصات المنشأ الصارمة) على مستوى المنصة.
• التقارب نحو عالم بلا كلمات مرور: مع انتشار معايير FIDO2/WebAuthn للمفاتيح المرورية، سيتطور دور مدير كلمات المرور ليصبح "مدير بيانات اعتماد" أو "مدير مفاتيح مرورية". يمكن أن يبسط هذا نموذج الأمان من خلال الاعتماد على التشفير بالمفتاح العام، لكنه يقدم تحديات جديدة لمزامنة واستعادة المفاتيح الخاصة عبر الأجهزة.
• التحقق الرسمي: تطبيق الأساليب الرسمية، كما هو الحال في التحقق من الأنظمة الحرجة، لإثبات صحة منطق قرار الملء التلقائي رياضياً ومناعته ضد فئات من الهجمات مثل إعادة توجيه واجهة المستخدم.

يجب أن تعامل الصناعة نتائج هذه الورقة كحافز للتغيير المعماري، وليس فقط كقائمة مراجعة للأخطاء التي يجب إصلاحها.

13. المراجع

1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. IEEE S&P.
3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2014). Password Managers: Attacks and Defenses. USENIX Security Symposium.
4. Stock, B., & Johns, M. (2015). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. NDSS.
5. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. NSPW.
6. Barker, E., & Dang, Q. (2015). NIST Special Publication 800-90B: Recommendation for the Entropy Sources Used for Random Bit Generation. National Institute of Standards and Technology.
7. FIDO Alliance. (2022). FIDO2: WebAuthn & CTAP. https://fidoalliance.org/fido2/
8. Zhu, J., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. ICCV. (CycleGAN)