İsviçre Federal Teknoloji Enstitüsü ETH Zürih’ten bir araştırma ekibi, parola yönetim sistemlerinde ciddi güvenlik açıkları tespit etti.
Araştırmaya göre, çevrimiçi hizmetleri düzenli kullanan kişiler yüzlerce parola ile karşı karşıya kalıyor ve bunları ezberlemek çok zor. Bu nedenle milyonlarca kişi, tüm diğer parolalarını bir “ana parola” ile korunan bir kasada saklayan parola yöneticilerine güveniyor. Banka hesapları veya çevrimiçi ödeme yöntemleri gibi hassas verilere erişimi kolaylaştıran bu sistemler, hacker saldırıları için potansiyel hedef oluşturuyor.
ETH Zürih’ten bilgisayar bilimi profesörü Kenneth Paterson, parola yöneticisi sağlayıcılarının verilerin tamamen şifreli olduğunu ve kendilerinin bile erişemediğini iddia ettiklerini söyledi. Ancak yapılan araştırma, şifreli verilerin tamamen okunamaz olmadığını gösterdi. Lugano’daki İsviçre İtalyan Üniversitesi’nden Matilda Backendal, “Sunucuya erişim sağlansa bile müşteriler için güvenlik riski yok” vaadinin doğru olmadığını vurguladı.
Araştırma, üç popüler sağlayıcı olan Bitwarden, Lastpass ve Dashlane üzerinde saldırı senaryolarını test etti; bu hizmetler dünya çapında yaklaşık 60 milyon kişi tarafından kullanılıyor. Araştırmacılar, açığın büyüklüğünden şaşkın olduklarını belirtti. Sağlayıcılara bu açıkları kapatmaları için 90 gün süre tanındı ve bazıları iş birliği yaparken, tümü aynı hızda çözüm üretmedi.
Araştırma ekibi, sistemlerin daha güvenli hale gelmesi için somut önerilerini pazartesi günü açıkladı.
