ارزیابی امنیتی مدیران گذرواژه مبتنی بر مرورگر: تولید، ذخیره‌سازی و پرکردن خودکار

1. مقدمه

با وجود چالش‌های امنیتی مستندشده، احراز هویت مبتنی بر گذرواژه همچنان روش غالب برای احراز هویت در وب است. کاربران در مدیریت چندین گذرواژه قوی با بار شناختی مواجه می‌شوند که منجر به استفاده مجدد از گذرواژه و ایجاد گذرواژه‌های ضعیف می‌شود. مدیران گذرواژه با تولید، ذخیره‌سازی و پرکردن خودکار گذرواژه‌ها، راه‌حلی بالقوه ارائه می‌دهند. با این حال، تحقیقات پیشین آسیب‌پذیری‌های قابل توجهی در مدیران گذرواژه مبتنی بر مرورگر شناسایی کرده‌اند. این مطالعه پنج سال پس از ارزیابی‌های قبلی، یک ارزیابی امنیتی به‌روز از سیزده مدیر گذرواژه محبوب ارائه می‌دهد و هر سه مرحله چرخه عمر مدیر گذرواژه را بررسی می‌کند: تولید، ذخیره‌سازی و پرکردن خودکار.

2. روش‌شناسی و محدوده

این ارزیابی سیزده مدیر گذرواژه را پوشش می‌دهد که شامل پنج افزونه مرورگر، شش مدیر یکپارچه با مرورگر و دو کلاینت دسکتاپ برای مقایسه می‌شود. این تحلیل، کارهای پیشین لی و همکاران (۲۰۱۴)، سیلور و همکاران (۲۰۱۴) و استاک و جانز (۲۰۱۴) را تکرار و گسترش می‌دهد. روش‌شناسی شامل موارد زیر است:

• تولید و تحلیل ۱۴۷ میلیون گذرواژه از نظر تصادفی بودن و استحکام
• بررسی مکانیزم‌های ذخیره‌سازی برای رمزنگاری و حفاظت از فراداده‌ها
• آزمایش قابلیت‌های پرکردن خودکار در برابر حملات ربودن کلیک و XSS
• ارزیابی پیکربندی‌های امنیتی پیش‌فرض

3. تحلیل تولید گذرواژه

این بخش اولین تحلیل جامع از الگوریتم‌های تولید گذرواژه در مدیران گذرواژه را ارائه می‌دهد.

4. امنیت ذخیره‌سازی گذرواژه

ارزیابی مکانیزم‌های ذخیره‌سازی گذرواژه، هم بهبودها و هم آسیب‌پذیری‌های پایدار را در مقایسه با پنج سال قبل آشکار کرد.

5. آسیب‌پذیری‌های مکانیزم پرکردن خودکار

قابلیت‌های پرکردن خودکار، اگرچه راحت هستند، اما سطوح حمله قابل توجهی ایجاد می‌کنند که در این ارزیابی مورد بهره‌برداری قرار گرفتند.

6. نتایج و یافته‌های آزمایشی

این ارزیابی چندین یافته کلیدی در میان ۱۳ مدیر گذرواژه آزمایش‌شده تولید کرد:

توضیح نمودار: یک نمودار میله‌ای تعداد آسیب‌پذیری‌ها را در سه دسته (تولید، ذخیره‌سازی، پرکردن خودکار) برای هر یک از ۱۳ مدیر گذرواژه نشان می‌دهد. این نمودار به وضوح نشان می‌دهد که کدام مدیران در هر دسته بهترین و بدترین عملکرد را داشته‌اند، با کدگذاری رنگی که سطح شدت را نشان می‌دهد.

7. تحلیل فنی و چارچوب

مثال چارچوب تحلیل

مطالعه موردی: ارزیابی تصادفی بودن گذرواژه

برای ارزیابی کیفیت تولید گذرواژه، محققان می‌توانند چارچوب ارزیابی زیر را بدون نیاز به دسترسی به کد منبع اختصاصی پیاده‌سازی کنند:

1. جمع‌آوری نمونه: تولید ۱۰۰۰۰ گذرواژه از هر مدیر با استفاده از تنظیمات پیش‌فرض
2. محاسبه آنتروپی: محاسبه آنتروپی شانون $H = -\sum p_i \log_2 p_i$ برای توزیع کاراکترها
3. آزمون آماری: اعمال آزمون کای دو با فرض صفر $H_0$: کاراکترها به طور یکنواخت توزیع شده‌اند
4. تشخیص الگو: جستجوی سوگیری‌های موقعیتی (مثلاً کاراکترهای ویژه فقط در انتها)
5. شبیه‌سازی حمله: مدل‌سازی حملات حدسی با استفاده از تکنیک‌های زنجیره مارکوف مشابه آنچه در مقاله وایر و همکاران با عنوان «شکستن گذرواژه با استفاده از دستور زبان‌های احتمالی مستقل از متن» آمده است

این چارچوب رویکرد استفاده‌شده در مقاله را منعکس می‌کند در حالی که توسط محققان مستقل یا سازمان‌های حسابرسی قابل پیاده‌سازی است.

8. مسیرهای آینده و توصیه‌ها

بر اساس یافته‌ها، چندین مسیر آینده و توصیه پدیدار می‌شود:

بهبودهای فنی

• پیاده‌سازی تأیید رسمی برای الگوریتم‌های تولید گذرواژه
• توسعه رابط‌های برنامه‌نویسی کاربردی (API) امنیتی استاندارد برای مدیران گذرواژه
• یکپارچه‌سازی کلیدهای امنیتی سخت‌افزاری برای حفاظت از گذرواژه اصلی
• اتخاذ معماری‌های دانش صفر که در آن ارائه‌دهنده خدمات نمی‌تواند به داده‌های کاربر دسترسی داشته باشد

فرصت‌های تحقیقاتی

• مطالعات طولی که تحول امنیتی مدیران گذرواژه خاص را ردیابی می‌کنند
• مطالعات رفتار کاربری در مورد پیکربندی و الگوهای استفاده از مدیر گذرواژه
• تحلیل اقتصادی سرمایه‌گذاری امنیتی در شرکت‌های مدیریت گذرواژه
• مقایسه‌های امنیتی بین پلتفرمی (دسکتاپ در مقابل موبایل در مقابل مرورگر)

استانداردهای صنعت

• توسعه برنامه‌های گواهی برای امنیت مدیر گذرواژه
• فرآیندهای افشای آسیب‌پذیری استانداردشده مخصوص مدیران گذرواژه
• اتخاذ سراسری صنعت پیش‌فرض‌های امن (مثلاً تأیید اجباری کاربر برای پرکردن خودکار)
• گزارش‌های شفافیت که روش‌شناسی و نتایج آزمایش امنیتی را به تفصیل شرح می‌دهند

آینده مدیران گذرواژه احتمالاً شامل یکپارچه‌سازی با استانداردهای نوظهور احراز هویت مانند WebAuthn و کلیدهای عبور است که به طور بالقوه وابستگی به گذرواژه‌های سنتی را به کلی کاهش می‌دهد. با این حال، در طول این دوره گذار، بهبود امنیت مدیران گذرواژه فعلی همچنان از اهمیت حیاتی برخوردار است.

9. منابع

1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. USENIX Security Symposium.
3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2014). Password Managers: Attacks and Defenses. USENIX Security Symposium.
4. Stock, B., & Johns, M. (2014). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. NDSS Symposium.
5. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
6. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. NSPW.
7. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
8. Fahl, S., Harbach, M., Acar, Y., & Smith, M. (2013). On the Ecological Validity of a Password Study. SOUPS.
9. Goodin, D. (2019). The sorry state of password managers—and what should be done about it. Ars Technica.
10. OWASP. (2021). Password Storage Cheat Sheet. OWASP Foundation.