Chagua Lugha

Tathmini ya Usalama ya Meneja wa Nenosiri Zinazotumika kwenye Kivinjari: Uundaji, Uhifadhi, na Kujaza Otomatiki

Uchambuzi kamili wa usalama wa meneja wa nenosiri maarufu 13, ukikagua nasibu ya uundaji wa nenosiri, usalama wa uhifadhi, na udhaifu wa kujaza otomatiki.
computationalcoin.com | PDF Size: 1.0 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Tathmini ya Usalama ya Meneja wa Nenosiri Zinazotumika kwenye Kivinjari: Uundaji, Uhifadhi, na Kujaza Otomatiki
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Tathmini ya Usalama ya Meneja wa Nenosiri Zinazotumika kwenye Kivinjari: Uundaji, Uhifadhi, na Kujaza Otomatiki

1. Utangulizi

Uthibitishaji kwa kutumia nenosiri bado ndio njia kuu ya uthibitishaji mtandaoni licha ya changamoto zake za usalama zilizorekodiwa vyema. Watumiaji wanakabiliwa na mzigo wa kiakili wakati wa kusimamia nenosiri nyingi zenye nguvu, na hii husababisha matumizi ya nenosiri moja mara kwa mara na uundaji wa nenosiri dhaifu. Meneja wa nenosiri hutoa suluhisho linalowezekana kwa kuzalisha, kuhifadhi, na kujaza nenosiri otomatiki. Hata hivyo, utafiti uliopita umebaini udhaifu mkubwa katika meneja wa nenosiri zinazotumika kwenye kivinjari. Utafiti huu hutoa tathmini ya kisasa ya usalama ya meneja wa nenosiri kumi na tatu, miaka mitano baada ya tathmini za awali, ukichunguza hatua zote tatu za mzunguko wa maisha wa meneja wa nenosiri: uundaji, uhifadhi, na kujaza otomatiki.

2. Mbinu & Upeo wa Utafiti

Tathmini hiyo inashughulikia meneja wa nenosiri kumi na tatu, ikiwa ni pamoja na viendelezi vitano vya kivinjari, meneja sita waliounganishwa na kivinjari, na programu mbili za mteja wa kompyuta kwa kulinganisha. Uchambuzi huu unarudia na kupanua kazi ya awali ya Li et al. (2014), Silver et al. (2014), na Stock & Johns (2014). Mbinu inajumuisha:

  • Kuzalisha na kuchambua nenosiri milioni 147 kwa nasibu na nguvu
  • Kuchunguza mifumo ya uhifadhi kwa usimbaji fiche na ulinzi wa metadata
  • Kujaribu vipengele vya kujaza otomatiki dhidi ya mashambulizi ya kuvuta kubonyeza (clickjacking) na XSS
  • Kukagua usanidi wa chaguo-msingi wa usalama

3. Uchambuzi wa Uundaji wa Nenosiri

Sehemu hii inawasilisha uchambuzi wa kwanza kamili wa algoriti za uundaji wa nenosiri katika meneja wa nenosiri.

3.1. Tathmini ya Nasibu

Utafiti huo ulitathmini nasibu ya nenosiri zilizozalishwa kwa kutumia vipimo vya takwimu ikiwa ni pamoja na vipimo vya chi-square kwa usambazaji wa herufi na mahesabu ya entropy. Entropy ya nenosiri $H$ kwa nenosiri la urefu $L$ na ukubwa wa seti ya herufi $N$ inahesabiwa kama: $H = L \cdot \log_2(N)$. Kwa nenosiri la nasibu kabisa la herufi 12 kwa kutumia herufi zinazowezekana 94 (herufi, nambari, alama), entropy itakuwa $H = 12 \cdot \log_2(94) \approx 78.5$ bits.

3.2. Uchambuzi wa Usambazaji wa Herufi

Uchambuzi ulifunua usambazaji wa herufi usio wa nasibu katika meneja kadhaa wa nenosiri. Vizalishi vingine vilionyesha upendeleo kuelekea aina fulani za herufi au nafasi ndani ya mfuatano wa nenosiri. Kwa mfano, meneja mmoja alikuwa akiweka alama maalum katika nafasi zinazoweza kutabirika kila wakati, na hivyo kupunguza entropy halisi.

3.3. Udhaifu wa Mashambulizi ya Kukisia

Utafiti uligundua kuwa nenosiri fupi zilizozalishwa (chini ya herufi 10) zilikuwa na udhaifu kwa mashambulizi ya kukisia mtandaoni, wakati nenosiri chini ya herufi 18 zilikuwa na udhaifu kwa mashambulizi ya nje ya mtandao. Hii inapingana na dhana ya kawaida kwamba nenosiri zilizozalishwa na meneja wa nenosiri zina nguvu sawasawa.

4. Usalama wa Uhifadhi wa Nenosiri

Tathmini ya mifumo ya uhifadhi wa nenosiri ilifunua maboresho na udhaifu unaoendelea ikilinganishwa na miaka mitano iliyopita.

4.1. Usimbaji Fiche & Ulinzi wa Metadata

Ingawa meneja wengi sasa husimba fiche hifadhidata za nenosiri, kadhaa waligunduliwa kuhifadhi metadata (URL, majina ya mtumiaji, mihuri ya wakati) kwa fomu isiyosimbwa fiche. Uvujaji huu wa metadata unaweza kuwapa washambuliaji habari muhimu ya upelelezi hata bila kusimbua fiche nenosiri halisi.

4.2. Uchambuzi wa Usanidi wa Chaguo-msingi

Meneja kadhaa wa nenosiri waligunduliwa kuwa na mipangilio ya chaguo-msingi isiyo salama, kama vile kuwezesha kujaza otomatiki bila uthibitisho wa mtumiaji au kuhifadhi nenosiri kwa vigezo dhaifu vya usimbaji fiche. Hizi chaguo-msingi zinaweka watumiaji hatarini ambao hawabadilishi mipangilio yao ya usalama.

5. Udhaifu wa Utaratibu wa Kujaza Otomatiki

Vipengele vya kujaza otomatiki, ingawa vina urahisi, huleta maeneo makubwa ya mashambulizi ambayo yalitumika katika tathmini hii.

5.1. Mashambulizi ya Kuvuta Kubonyeza (Clickjacking)

Meneja wengi wa nenosiri walikuwa na udhaifu kwa mashambulizi ya kuvuta kubonyeza ambapo tovuti zenye udhia zinaweza kudanganya watumiazi kufichua nenosiri kupitia viunzi visivyoonekana au vipengele vya UI vilivyoundwa kwa uangalifu. Kiwango cha mafanikio ya shambulio kilitofautiana kati ya meneja kutoka 15% hadi 85%.

5.2. Hatari za Uandishi wa Msimbo Kuvuka Tovuti (XSS)

Tofauti na miaka mitano iliyopita, meneja wengi sasa wana ulinzi wa msingi dhidi ya mashambulizi rahisi ya XSS. Hata hivyo, mashambulizi ya kisasa ya XSS yanayochanganya mbinu nyingi bado yanaweza kupitisha ulinzi huu katika meneja kadhaa.

6. Matokeo ya Majaribio & Ugunduzi

Tathmini hiyo ilitoa ugunduzi muhimu kadhaa kati ya meneja wa nenosiri 13 waliojaribiwa:

Matatizo ya Uundaji wa Nenosiri

Meneja 4 kati ya 13 walionyesha usambazaji wa herufi usio wa nasibu wenye umuhimu wa kitakwimu

Udhaifu wa Uhifadhi

Meneja 7 walihifadhi metadata bila kusimbwa fiche, 3 walikuwa na mipangilio ya chaguo-msingi isiyo salama

Matumizi ya Kujaza Otomatiki

Meneja 9 walikuwa na udhaifu kwa kuvuta kubonyeza, 4 walikuwa na udhaifu kwa mashambulizi ya hali ya juu ya XSS

Uboreshaji wa Jumla

Kupunguzwa kwa 60% kwa udhaifu muhimu ikilinganishwa na tathmini za 2014

Maelezo ya Chati: Chati ya mipango ingeonyesha idadi ya udhaifu katika makundi matatu (Uundaji, Uhifadhi, Kujaza Otomatiki) kwa kila meneja wa nenosiri kati ya 13. Chati ingeonyesha wazi ni meneja gani walifanya vizuri na vibaya zaidi katika kila kikundi, na rangi zikionyesha viwango vya ukali.

7. Uchambuzi wa Kiufundi & Mfumo wa Kazi

Uelewa wa Msingi

Industri ya meneja wa nenosiri imepata maendeleo yanayoweza kupimika lakini yasiyotosha. Ingawa idadi kubwa ya udhaifu muhimu imepungua tangu 2014, asili ya kasoro zilizobaki ni za hila zaidi. Hatushughuliki tena na kushindwa kwa msingi kwa usimbaji fiche lakini na makosa ya hila ya utekelezaji na usanidi dhaifu wa chaguo-msingi ambao huvunja usalama kwenye pembe. Hii huunda hisa ya uwongo hatarishi ya usalama miongoni mwa watumiaji ambao wanadhani meneja wa nenosiri ni suluhisho la "weka na usisahau".

Mtiririko wa Kimantiki

Karatasi hii inafuata safu ya hadithi yenye mvuto: kuanzisha tatizo la kudumu la usalama wa nenosiri, kuweka meneja wa nenosiri kama suluhisho la kinadharia, kuvunja dhana hii kwa utaratibu kupitia majaribio ya kimajaribio, na kuhitimisha kwa maboresho yanayoweza kutekelezwa. Mbinu ni sahihi—kurudia tafiti za zamani kunaunda seti ya data ya muda mrefu yenye thamani, wakati umakini mpya kwenye uundaji wa nenosiri unashughulikia pengo muhimu. Hata hivyo, uhalali wa nje wa utafiti umepunguzwa na mbinu yake ya picha moja; usalama ni lengo linalosonga, na kiraka cha leo kinaweza kuunda udhaifu wa kesho.

Nguvu & Kasoro

Nguvu: Kipimo cha utafiti ni cha kuvutia—nenosiri milioni 147 zilizozalishwa zinawakilisha juhudi kubwa za kompyuta. Mfumo wa nguzo tatu (uundaji, uhifadhi, kujaza otomatiki) ni kamili na wenye mantiki. Ulinganisho na misingi ya 2014 hutoa muktadha muhimu kuhusu maendeleo ya tasnia (au ukosefu wake).

Kasoro: Karatasi hii inakwepa kwa kushangaza kutaja wale waliofanya vibaya zaidi, ikichagua marejeo yasiyojulikana. Ingawa yanaeleweka kutoka kwa mtazamo wa wajibu, hii inadhoofisha matumizi ya vitendo ya utafiti kwa watumiaji. Uchambuzi pia hauna kina kuhusu sababu za msingi—kwa nini udhaifu huu unaendelea? Je, ni vikwazo vya rasilimali, maamuzi ya usanifu, au motisha za soko?

Uelewa Unaoweza Kutekelezwa

1. Kwa Watumiaji: Usidhani nenosiri zilizozalishwa na meneja wa nenosiri zina nguvu kiasili. Thibitisha urefu (angalau herufi 18 kwa upinzani wa shambulio la nje ya mtandao) na fikiria ukaguzi wa mikono wa usambazaji wa herufi. 2. Kwa Wasanidi Programu: Tekeleza vipimo sahihi vya nasibu kwa kutumia maktaba zilizokubalika za kriptografia kama NIST's Statistical Test Suite. Simba fiche metadata YOTE, sio nenosiri tu. 3. Kwa Makampuni: Fanya tathmini za kawaida za usalama za wahusika wengine wa meneja wa nenosiri, ukizingatia udhaifu maalum ulioainishwa hapa. 4. Kwa Watafiti: Panua majaribio kwenye majukwaa ya rununu na uchunguze motisha za kiuchumi zinazoruhusu udhaifu huu kuendelea.

Mfano wa Mfumo wa Uchambuzi

Kisomo cha Kesi: Kutathmini Nasibu ya Nenosiri

Ili kukadiria ubora wa uundaji wa nenosiri, watafiti wanaweza kutekeleza mfumo ufuatao wa tathmini bila kuhitaji ufikiaji wa msimbo wa chanzo wa umiliki:

  1. Ukusanyaji wa Sampuli: Zalishe nenosiri 10,000 kutoka kwa kila meneja kwa kutumia mipangilio ya chaguo-msingi
  2. Hesabu ya Entropy: Kokotoa entropy ya Shannon $H = -\sum p_i \log_2 p_i$ kwa usambazaji wa herufi
  3. Kupima Takwimu: Tumia kipimo cha chi-square na dhana batili $H_0$: herufi zinasambazwa sawasawa
  4. Ugunduzi wa Muundo: Tafuta upendeleo wa nafasi (mfano, alama maalum tu mwishoni)
  5. Uigaji wa Shambulio: Tengeneza mfano wa mashambulizi ya kukisia kwa kutumia mbinu za mnyororo wa Markov zinazofanana na zile za Weir et al. "Password Cracking Using Probabilistic Context-Free Grammars"

Mfumo huu unaonyesha mbinu iliyotumika kwenye karatasi huku ukiweza kutekelezwa na watafiti huru au mashirika ya ukaguzi.

8. Mwelekeo wa Baadaye & Mapendekezo

Kulingana na ugunduzi, mwelekeo kadhaa wa baadaye na mapendekezo yanatokea:

Maboresho ya Kiufundi

  • Utekelezaji wa uthibitisho rasmi wa algoriti za uundaji wa nenosiri
  • Uundaji wa API zilizosanifishwa za usalama kwa meneja wa nenosiri
  • Ujumuishaji wa funguo za usalama za vifaa kwa ulinzi wa nenosiri kuu
  • Kupitishwa kwa usanifu wa "zero-knowledge" ambapo mtoa huduma hawezi kufikia data ya mtumiaji

Fursa za Utafiti

  • Masomo ya muda mrefu yanayofuatilia mabadiliko ya usalama ya meneja maalum wa nenosiri
  • Masomo ya tabia ya watumiaji kwenye usanidi na mifumo ya matumizi ya meneja wa nenosiri
  • Uchambuzi wa kiuchumi wa uwekezaji wa usalama katika kampuni za usimamizi wa nenosiri
  • Ulinganisho wa usalama kuvuka majukwaa (kompyuta ya mezani dhidi ya rununu dhidi ya kivinjari)

Viashiria vya Tasnia

  • Uundaji wa programu za udhibitisho kwa usalama wa meneja wa nenosiri
  • Michakato iliyosanifishwa ya ufichuaji wa udhaifu maalum kwa meneja wa nenosiri
  • Kupitishwa kwa tasnia nzima kwa chaguo-msingi salama (mfano, uthibitisho wa lazima wa mtumiaji kwa kujaza otomatiki)
  • Ripoti za uwazi zinazoelezea mbinu za majaribio ya usalama na matokeo

Mustakabali wa meneja wa nenosiri uwezekano unajumuisha ujumuishaji na viashiria vya kisasa vya uthibitishaji kama WebAuthn na funguo za kupita (passkeys), na hivyo kupunguza kutegemea nenosiri za jadi kabisa. Hata hivyo, wakati wa kipindi hiki cha mpito, kuboresha usalama wa sasa wa meneja wa nenosiri bado ni muhimu sana.

9. Marejeo

  1. Oesch, S., & Ruoti, S. (2020). That Was Then, This Is Now: A Security Evaluation of Password Generation, Storage, and Autofill in Browser-Based Password Managers. USENIX Security Symposium.
  2. Li, Z., He, W., Akhawe, D., & Song, D. (2014). The Emperor's New Password Manager: Security Analysis of Web-based Password Managers. USENIX Security Symposium.
  3. Silver, D., Jana, S., Boneh, D., Chen, E., & Jackson, C. (2014). Password Managers: Attacks and Defenses. USENIX Security Symposium.
  4. Stock, B., & Johns, M. (2014). Protecting the Intranet Against "JavaScript Malware" and Related Attacks. NDSS Symposium.
  5. Weir, M., Aggarwal, S., Medeiros, B., & Glodek, B. (2009). Password Cracking Using Probabilistic Context-Free Grammars. IEEE Symposium on Security and Privacy.
  6. Herley, C. (2009). So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. NSPW.
  7. NIST. (2017). Digital Identity Guidelines: Authentication and Lifecycle Management. NIST Special Publication 800-63B.
  8. Fahl, S., Harbach, M., Acar, Y., & Smith, M. (2013). On the Ecological Validity of a Password Study. SOUPS.
  9. Goodin, D. (2019). The sorry state of password managers—and what should be done about it. Ars Technica.
  10. OWASP. (2021). Password Storage Cheat Sheet. OWASP Foundation.