นักวิจัย: Chrome, Safari ผู้จัดการรหัสผ่านต้องการทำงาน

เบราว์เซอร์ Safari ของ Chrome และ Safari ของ Google สามารถทำงานได้ดีกว่าในการปกป้องรหัสผ่านตามที่นักวิจัยด้านความปลอดภัยได้ทำการศึกษาเกี่ยวกับผู้จัดการรหัสผ่านของเบราเซอร์เมื่อวันศุกร์ที่ผ่านมา

"Safari และ Chrome มีส่วนเกี่ยวข้องกับตัวจัดการรหัสผ่านที่เลวร้ายที่สุด เว็บเบราเซอร์รายใหญ่ "Robert Chapin ประธานของ Chapin Information Services กล่าวในรายงานของเขาซึ่งกล่าวถึงประเภทของเบราว์เซอร์การตรวจสอบความปลอดภัยที่ใช้เพื่อตรวจสอบให้แน่ใจว่าพวกเขาส่งข้อมูลชื่อผู้ใช้และรหัสผ่านไปยังเว็บไซต์ที่ถูกกฎหมายแทนแฮกเกอร์ที่ชาญฉลาด

สองปีก่อน Chapin รายงานข้อบกพร่องของโปรแกรมจัดการรหัสผ่านที่เผยแพร่อย่างกว้างขวางในเบราว์เซอร์ Firefox ซึ่งได้รับการจัดอันดับโดยนักพัฒนา Mozilla ข้อผิดพลาดถูกใช้โดยผู้บุกรุกบนเว็บไซต์ MySpace.com ซึ่งตั้งค่าหน้าการเข้าสู่ระบบปลอมเพื่อขโมยข้อมูลบัญชีจากผู้ใช้เว็บไซต์เครือข่ายสังคม

[การอ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows]

ตอนนี้ Firefox ได้ทำอะไรหลายอย่างเพื่อปรับปรุงตัวจัดการรหัสผ่าน แต่ผลิตภัณฑ์เหล่านี้ทั้งหมดยังห่างไกลจากความสมบูรณ์แบบ Chapin กล่าวในการสัมภาษณ์ "ทุกคนควรใส่ความไว้วางใจโดยนัย 100% ในผู้จัดการรหัสผ่านทุกครั้งหรือไม่" เขาถาม. "ไม่เลย"

ปัญหาหนึ่งคือผู้จัดการรหัสผ่านของวันนี้สามารถหลอกลวงในการส่งข้อมูลรับรองรหัสผ่านที่แตกต่างกันไปยังส่วนต่างๆของเว็บไซต์เดียวกันได้ นั่นคือสิ่งที่แฮ็กเกอร์ทำกับการโจมตีของ MySpace โดยโพสต์รูปแบบการป้อนรหัสผ่านปลอมในหน้า MySpace เนื่องจากทั้งแบบฟอร์มการเข้าสู่ระบบปลอมและแบบจริงบนโดเมน myspace.com เบราว์เซอร์เช่น Firefox อาจถูกหลอกให้ส่งข้อมูลการเข้าสู่ระบบไปยังผู้โจมตีโดยอัตโนมัติ ข้อบกพร่องดังกล่าวได้รับการแก้ไขใน Firefox แล้ว แต่ Chrome และ Safari ยังคงมีความเสี่ยงต่อการโจมตีที่คล้ายคลึงกัน

ปัญหาก็คือเบราว์เซอร์จะส่งรหัสผ่านที่มีความหมายสำหรับโดเมนหนึ่งเช่น Google.com ไปยังโดเมนอื่นเช่น Myspace com - โดยไม่ต้องแจ้งเตือนผู้ใช้เขากล่าวว่า นั่นเป็นเพราะผู้ผลิตเบราว์เซอร์คิดว่าหน้าขอรหัสผ่านควรได้รับความเชื่อถือแม้ว่าจะมีการส่งรหัสผ่านไปยังโดเมนอื่นเขากล่าวว่า

Robert Hansen ซีอีโอของ SecTheory ซึ่งให้คำปรึกษาด้านความปลอดภัยบนเว็บกล่าวว่าชุมชนผู้รักษาความปลอดภัยรู้จักมานานหลายปีแล้วที่ผู้จัดการรหัสผ่านของเบราเซอร์ไม่ปลอดภัย ส่วนใหญ่เป็นเพราะเบราว์เซอร์เองมีความเสี่ยงต่อการโจมตีที่แตกต่างกันจำนวนมาก "พวกเขาไม่ได้เป็นความคิดที่ดีจากมุมมองด้านความปลอดภัยเมื่อรวมเข้ากับเบราว์เซอร์แล้ว" เขากล่าวผ่านทางข้อความโต้ตอบแบบทันที "เบราว์เซอร์เองไม่ได้ออกแบบมาเพื่อหยุดการบุกรุกที่มีขนาดใหญ่ซึ่งช่วยให้สามารถขโมยรหัสผ่านได้โดยไม่ต้องมีการโจมตีเหล่านี้แฮ็กเกอร์จัดการรหัสผ่านจะไม่สามารถใช้งานได้"