Bitwarden, LastPass, এবং Dashlane আপনার প্রত্যাশার চেয়ে কম নিরাপদ, অন্তত যদি আপনি লুগানোর ETH জুরিখ এবং Università Della Svizzera Italiana (USI) এর নিরাপত্তা গবেষকদের অনুসন্ধানের দিকে যান।
তারা এই জনপ্রিয় পাসওয়ার্ড পরিচালকদের মধ্যে গুরুতর নিরাপত্তা দুর্বলতা খুঁজে পেয়েছে বলে জানা গেছে। “পরীক্ষায়, তারা সঞ্চিত পাসওয়ার্ড দেখতে এবং পরিবর্তন করতে সক্ষম হয়েছিল,” সম্পাদক (মেশিন অনূদিত) লিখেছেন৷
কেন তারা অনিরাপদ?
অনেক পাসওয়ার্ড ম্যানেজার ক্লাউডে এনক্রিপ্টেড আকারে পাসওয়ার্ড সংরক্ষণ করে। এর সুবিধা হল আপনি যেখানেই থাকুন না কেন আপনার সমস্ত ডিভাইসে আপনার পাসওয়ার্ড অ্যাক্সেস করতে পারবেন। গুরুত্বপূর্ণ বিষয় হল যে আপনার পাসওয়ার্ড এনকোড করা হয়েছেযা নিশ্চিত করে যে সেই পাসওয়ার্ডগুলি অননুমোদিত অ্যাক্সেস থেকে সুরক্ষিত। এমনকি হ্যাকাররা পাসওয়ার্ড ম্যানেজারের সার্ভারগুলিতে অ্যাক্সেস লাভ করলেও, এনক্রিপশন তাদের ব্যর্থ হবে।
কিন্তু সুইস নিরাপত্তা গবেষকরা জনপ্রিয় পাসওয়ার্ড ম্যানেজার Bitwarden, LastPass এবং Dashlane-এ দুর্বলতা খুঁজে পেয়েছেন: “[The researchers’] আক্রমণগুলি লক্ষ্যযুক্ত ব্যবহারকারীর ভল্টগুলির অখণ্ডতার লঙ্ঘন থেকে শুরু করে পরিষেবাটি ব্যবহার করে একটি সংস্থার সমস্ত ভল্টের সমঝোতা পর্যন্ত। বেশিরভাগ ক্ষেত্রে, গবেষকরা পাসওয়ার্ডগুলিতে অ্যাক্সেস পেতে সক্ষম হন – এমনকি সেগুলিকে ম্যানিপুলেটও করতে পারেন৷
গবেষকরা বিটওয়ার্ডেনে 12টি, লাস্টপাসে 7টি এবং ড্যাশলেনে 6টি আক্রমণ করেছেন। এটি করার জন্য, তারা তাদের নিজস্ব সার্ভার সেট আপ করে যা হ্যাক করা পাসওয়ার্ড ম্যানেজার সার্ভারের মতো আচরণ করে। তারপরে গবেষকরা “সাধারণ ইন্টারঅ্যাকশনগুলি চালু করেছেন যা ব্যবহারকারী বা তাদের ব্রাউজাররা পাসওয়ার্ড ম্যানেজার ব্যবহার করার সময় নিয়মিতভাবে সম্পাদন করে, যেমন একটি অ্যাকাউন্টে লগ ইন করা, একটি ভল্ট খোলা, পাসওয়ার্ড দেখা বা ডেটা সিঙ্ক্রোনাইজ করা।”
গবেষকরা “খুবই উদ্ভট কোড আর্কিটেকচার” খুঁজে পেয়েছেন, যা সম্ভবত তৈরি করা হয়েছিল কারণ কোম্পানিগুলি “তাদের গ্রাহকদের সবচেয়ে ব্যবহারকারী-বান্ধব পরিষেবা প্রদান করার চেষ্টা করছে, উদাহরণস্বরূপ পাসওয়ার্ড পুনরুদ্ধার করার বা পরিবারের সদস্যদের সাথে আপনার অ্যাকাউন্ট শেয়ার করার ক্ষমতা।”
এটি শুধুমাত্র কোড আর্কিটেকচারকে আরও জটিল এবং বিভ্রান্তিকর করে তোলে না, কিন্তু হ্যাকারদের জন্য সম্ভাব্য আক্রমণের পয়েন্টের সংখ্যাও বাড়িয়ে দেয়। নিরাপত্তা গবেষকরা সতর্ক করেছেন: “এই ধরনের আক্রমণের জন্য বিশেষভাবে শক্তিশালী কম্পিউটার এবং সার্ভারের প্রয়োজন হয় না, শুধুমাত্র ছোট প্রোগ্রাম যা সার্ভারের পরিচয় ফাঁকি দিতে পারে।”
তাদের ফলাফল প্রকাশ করার আগে, গবেষকরা প্রতিটি পাসওয়ার্ড ম্যানেজারকে জানিয়েছিলেন যাতে ত্রুটিগুলি ঠিক করার জন্য তাদের যথেষ্ট সময় ছিল। তারা সবাই ইতিবাচক সাড়া দিয়েছে, কিন্তু সবাই একই গতিতে ত্রুটিগুলো ঠিক করেনি।
পুরানো এনক্রিপশন পদ্ধতিতে এটিকে দোষারোপ করুন
গবেষকদের মতে, দুর্বলতার কারণ সুস্পষ্ট: “পাসওয়ার্ড ম্যানেজার ডেভেলপারদের সাথে আলোচনায় তাদের গ্রাহকরা তাদের পাসওয়ার্ড এবং অন্যান্য ব্যক্তিগত ডেটার অ্যাক্সেস হারাতে পারে এই ভয়ে সিস্টেম আপডেট প্রকাশে তাদের অনিচ্ছা প্রকাশ করেছে। এই গ্রাহকদের মধ্যে লক্ষ লক্ষ ব্যক্তি এবং হাজার হাজার কোম্পানি রয়েছে যারা তাদের সম্পূর্ণ পাসওয়ার্ড ব্যবস্থাপনা এই প্রদানকারীদের কাছে অর্পণ করে। তাই কেউ কল্পনা করতে পারে যে তাদের ডেটা অ্যাক্সেস করার জন্য অনেকের ক্ষতি হতে পারে। প্রদানকারীরা 1990 এর দশক থেকে ক্রিপ্টোগ্রাফিক প্রযুক্তিকে আঁকড়ে ধরে আছে, যদিও তারা অনেক আগে থেকেই আছে।”
এই দ্বিধা-দ্বন্দ্বের একমাত্র সমাধান হল সমস্ত পাসওয়ার্ড পরিচালকদের ক্রিপ্টোগ্রাফিকভাবে আপডেট করা, অন্তত নতুন গ্রাহকদের জন্য। বিদ্যমান গ্রাহকরা তখন নিজেরাই সিদ্ধান্ত নিতে পারেন “তারা নতুন, আরও সুরক্ষিত সিস্টেমে যেতে চান এবং সেখানে তাদের পাসওয়ার্ড স্থানান্তর করতে চান, নাকি বিদ্যমান নিরাপত্তা দুর্বলতা সম্পর্কে সচেতন হয়ে পুরানো সিস্টেমের সাথে থাকতে চান কিনা।”
তোমার কি করা উচিত?
গবেষকরা আমাদের আশ্বস্ত করেন যে কোন তাৎক্ষণিক হুমকি নেই, এই বলে যে “তাদের বিশ্বাস করার কোন কারণ নেই যে পাসওয়ার্ড ম্যানেজার প্রদানকারীরা বর্তমানে দূষিত বা আপস করেছে, এবং যতক্ষণ এটি থাকবে, আপনার পাসওয়ার্ডগুলি নিরাপদ। যাইহোক, পাসওয়ার্ড ম্যানেজাররা উচ্চ-প্রোফাইল লক্ষ্যবস্তু, এবং নিরাপত্তা লঙ্ঘন ঘটে।”
পাসওয়ার্ড ম্যানেজার বিবেচনা করা যে কেউ একটি পাসওয়ার্ড ম্যানেজার বেছে নেওয়া উচিত “যেটি সম্ভাব্য নিরাপত্তা দুর্বলতাগুলি প্রকাশ্যে প্রকাশ করে, বাহ্যিকভাবে নিরীক্ষিত হয় এবং ডিফল্টরূপে এন্ড-টু-এন্ড এনক্রিপশন সক্রিয় থাকে।”
আরও পড়া: সেরা পাসওয়ার্ড পরিচালকদের পর্যালোচনা করা হয়েছে
