តើមានអ្វីដែលមានសុវត្ថិភាពជានិច្ចនោះទេ? សម្រាប់ឆ្នាំ 2017 នេះ ចម្លើយគឺថា ទេ។
ដើម្បីធានាថាពាក្យសម្ងាត់ជាច្រើនរបស់លោកអ្នកមានសុវត្ថិភាពគឺជារឿងមួយដែលសំខាន់បំផុតដែលអ្នកតែងតែគិតមុនគេបំផុតសម្រាប់កុំព្យូទ័រ អ៊ីម៉ែល និងព័ត៌មានមួយចំនួនទៀតដើម្បីប្រឆាំងទៅនឹងការប៉ុនប៉ងនៃការវាយប្រហារជាច្រើន ហើយការប្រើប្រាស់នូវកម្មវិធី Password Managers បានក្លាយទៅជាជម្រើសមួយដែលអ្នកជំនាញសុវត្ថិភាពជាច្រើនប្រើប្រាស់ដើម្បីរក្សាទុកនូវពាក្យសម្ងាត់ទាំងអស់នៅក្នុងកន្លែងតែមួយ។
Password Managers គឺជាកម្មវិធី Software មានសមត្ថភាពក្នុងការបង្កើតនូវពាក្យសម្ងាត់ដែលស្មុគស្មាញ ការរក្សាទុកពាក្យសម្ងាត់ និងការរៀបចំនូវពាក្យសម្ងាត់សម្រាប់កុំព្យូទ័រ គេហទំព័រ កម្មវិធី និងបណ្តាញណែតវើកថែមទៀតផងហើយវាមានតែលោកអ្នកទេដែលបានដឹងអំពីរឿងនេះ។
ប៉ុន្តែតើវាមានអ្វីកើតឡើងប្រសិនបើកម្មវិធី Password Managers ខ្លួនឯងក៏ជាជនរងគ្រោះដែរនោះ?
ពាក់ព័ន្ធទៅនឹងរឿងមួយនេះ វាមិនមែនជាការស្រមើលស្រមៃនោះទេដោយសារតែរបាយការណ៍ថ្មីមួយបានទម្លាយថាកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ Password Managers មួយចំនួនដែលពេញនិយមបំផុតអាចនឹងត្រូវរងគ្រោះហើយអាចទម្លាយនូវទិន្នន័យសម្ងាត់នៃឯកជនភាពរបស់អ្នកប្រើប្រាស់បានទៀត។
របាយការណ៍នេះបានចេញផ្សាយនៅថ្ងៃអង្គារដោយក្រុមអ្នកជំនាញសន្តិសុខសុវត្ថិភាពមកពី TeamSIK នៃវិទ្យាស្ថាន Fraunhofer Institute ផ្នែកសន្តិសុខព័ត៌មានវិទ្យា (Secure Information Technology) នៅក្នុងប្រទេសអាឡឺម៉ង់ដែលបានទម្លាយឱ្យដឹងថា កម្មវិធី Password Managers ចំនួន 9 ដ៏ពេញនិយមបំផុតនៅលើប្រព័ន្ធប្រតិបត្តិការ Android ដែលលោកអ្នកអាចទាញយកមកប្រើប្រាស់បានតាមរយៈ Google Play នោះគឺងាយស្រួលក្នុងការរងគ្រោះ ។
កម្មវិធី Android Password Managers ពេញនិយមបំផុតមានផលប៉ះពាល់ដោយសារចំនុចខ្សោយមួយ ឬច្រើន
ក្រុមអ្នកជំនាញសុវត្ថិភាពបានពិនិត្យឃើញថាកម្មវិធី LastPass, Keeper, 1Password, My Passwords, Dashlane Password Manager, Informaticore’s Password Manager, F-Secure KEY, Keepsafe និង Avast Passwords សុទ្ធតែមានចំនួនអ្នកតម្លើងចន្លោះពី 100,000 ទៅ 50 លានដងនៅក្នុងកម្មវិធីមួយ។
TeamSIK និយាយថា “លទ្ធផលសរុបពិតជាមានការព្រួយបារម្ភខ្លាំងព្រោះថាកម្មវិធី Password Managers មិនបានផ្តល់នូវយន្តការនៃការការពារឱ្យបានគ្រប់គ្រាន់នោះទេសម្រាប់រក្សាទុកនូវពាក្យសម្ងាត់ និងទិន្នន័យឯកជនភាព (Credentials) ។”
នៅក្នុងកម្មវិធីនីមួយៗ ក្រុមអ្នកស្រាវជ្រាវរកឃើញថា កំហុសឆ្គងដែលជាភាពរងគ្រោះមួយ ឬច្រើនដែលសរុបទាំងអស់មានចំនួន 26 ដែលអ្នកប្រើប្រាស់រាយការណ៍ទៅកាន់អ្នកអភិវឌ្ឍកម្មវិធី និងត្រូវបានដោះស្រាយមុនពេលដែលការរាយការណ៍នេះបង្ហោះជាសាធារណៈ ។
Encryption Keys សម្រាប់ធ្វើជាកូដ Master Key នៅក្នុងកម្មវិធី
យោងទៅតាមក្រុមនេះ កម្មវិធី Password Managers មួយចំនួនពិតជាងាយរងគ្រោះសម្រាប់ការវាយប្រហារទិន្នន័យ ហើយកម្មវិធីមួយចំនួនរក្សាទុកនូវពាក្យសម្ងាត់ Master Password នៅក្នុង Plain Text ឬហៅថា Encryption Keys នៅក្នុងកូដតែម្តង។
ឧទាហរណ៍ កម្មវិធីមួយឈ្មោះ Informaticore Password Managers រក្សាទុកនូវ Master Password នៅក្នុងទម្រង់ Encrypted Form ជាមួយនឹង Encryption Key នៅក្នុងកូដរបស់កម្មវិធីនេះតែម្តង។ កំហុសឆ្គងនេះរកឃើញផងដែរនៅលើកម្មវិធី LastPass ។
ពិតណាស់ ការរក្សាទុកនូវពាក្យសម្ងាត់របស់អ្នកប្រើប្រាស់ពិតជាមានភាពងាយស្រួលក្នុងការចូលដំណើរការដោយសារតែអ្នកមានគំនិតអាក្រក់បង្កប់នូវកូដដើម្បីលួច។ ក្រៅពីបញ្ហានេះ ក្រុមអ្នកស្រាវជ្រាវរកឃើញផងដែរនូវការប្រើប្រាស់មុខងារ Auto-Fill Functions នៅក្នុងកម្មវិធីជាច្រើនរបស់ Password Manager ដែលអាចលួចទិន្នន័យលាក់ទុកជាសម្ងាត់តាមរយៈការវាយប្រហារមួយហៅថា “Hidden Phishing” Attacks ។
តើនៅមានអ្វីដែលជាការព្រួយបារម្ភបន្ថែមទៀត? អ្នកវាយប្រហារ ឬហេគឃ័រអាចហេគចូលបានយ៉ាងងាយស្រួលដោយមិនចាំបាច់ត្រូវការសិទ្ធិប្រើប្រាស់ (Root Permissions) នោះទេ។
លក្ខណៈនៃការវាយប្រហារដ៏ងាយស្រួលនៅក្នុងកម្មវិធី Password Managers
ខាងក្រោមនេះគឺជាបញ្ជីនៃការវាយប្រហារដ៏ងាយស្រួលនៅក្នុងកម្មវិធី Password Managers ដ៏ពេញនិយមសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ដោយក្រុម TeamSIK ។
MyPasswords
- អានទិន្នន័យផ្ទាល់ខ្លួន (Private Data) នៃកម្មវិធី My Passwords App
- Master Password Decryption នៃកម្មវិធី My Passwords App
- ប្រើ Premium Features Unlock នៃកម្មវិធី My Passwords
1Password – Password Manager
- Subdomain Password Leakage នៅក្នុង 1Password Internal Browser
- HTTPS downgrade ទៅកាន់ HTTP URL ក្នុងទម្រង់ default ក្នុង 1Password Internal Browser
- Titles និង URLs មិនបានធ្វើការ Encrypted ក្នុង 1Password Database
- អានទិន្នន័យផ្ទាល់ខ្លួន (Private Data) ចេញពី App Folder ក្នុង 1Password Manager
- Privacy Issue, Information Leaked ទៅកាន់អ្នកលក់ទិន្នន័យ 1Password Manager
LastPass Password Manager
- Hardcoded Master Key ក្នុង LastPass Password Manager
- Privacy, Data leakage ក្នុង LastPass Browser Search
- អានទិន្នន័យផ្ទាល់ខ្លួន (Private Data) (ការរក្សាទុក Master password) ពី LastPass Password Manager
Informaticore Password Manager
- មិនមានសុវត្ថិភាពឯកជនភាព (Credential Storage) ក្នុង Microsoft Password Manager
Keeper Password Manager
- Keeper Password Manager Security Question Bypass
- Keeper Password Manager Data Injection ដោយគ្មាន Master Password
Dashlane Password Manager
- អានទិន្នន័យផ្ទាល់ខ្លួន (Private Data) ចេញពី App Folder ក្នុង Dashlane Password Manager
- Google Search Information Leakage ក្នុង Dashlane Password Manager Browser
- Residue Attack Extracting Master Password ចេញពី Dashlane Password Manager
- Subdomain Password Leakage ក្នុង Internal Dashlane Password Manager Browser
F-Secure KEY Password Manager
- F-Secure KEY Password Manager Insecure Credential Storage
Hide Pictures Keepsafe Vault
- Keepsafe Plaintext Password Storage
Avast Passwords
- App Password Stealing ចេញពី Avast Password Manager
- Insecure Default URLs សម្រាប់ Popular Sites ក្នុង Avast Password Manager
- Broken Secure Communication Implementation ក្នុង Avast Password Manager
ក្រុមស្រាវជ្រាវនឹងធ្វើបទបង្ហាញលទ្ធផលនៃការរកឃើញរបស់ពួកគេនៅក្នុងសន្និសីទ HITB នៅខែក្រោយនេះ។ សម្រាប់ព័ត៌មានលម្អិតនៃបច្ចេកទេសអំពីការរងគ្រោះនៃកម្មវិធីនីមួយៗ អ្នកប្រើប្រាស់អាចមើលទៅលើរបាយការណ៍របស់ក្រុម TeamSIK បាន។
ចាប់តាំងពីបញ្ហានេះត្រូវលាតត្រដាង អ្នកប្រើប្រាស់ត្រូវណែនាំឱ្យធ្វើបច្ចុប្បន្នភាព (Update) នូវកម្មវិធី Password Manager របស់ខ្លួនឱ្យបានលឿនបំផុតតាមតែអាចធ្វើបានព្រោះពេលនេះក្រុមហេគឃ័រមានទិន្នន័យទាំងអស់ដែលពួកគេលួចបាននៅក្នុងកម្មវិធី Password Manager ជាច្រើនដែលមានកំហុសឆ្គងទាំងនេះ៕