พบช่องโหว่ในโปรแกรมจัดการรหัสผ่าน (Password Manager)

สำหรับผู้ใช้แอพพลิเคชั่นโปรแกรมจัดการรหัสผ่านตอนนี้ต้องระวังกันหน่อย เพราะมีการพบช่องโหว่ในโปรแกรม หลังจากที่ Tavis Ormandy นักวิจัยของ Google Project Zero ได้พบข้อบกพร่องในการจัดการรหัสผ่านของ โปรแกรม Keeper หลังจากทำการอัปเดตส่วนขยายของ Browser ตามที่ได้ประกาศไว้ในเว็บบล็อกของ Keeper ช่องโหว่ที่ Ormandy พบนี้เกิดจากการที่เขาติดตั้ง Windows 10 และพบว่าโปรแกรม Keeper ถูกตั้งค่าเป็นค่าเริ่มต้นในการติดตั้ง ซึ่งเมื่อปีที่แล้วโปรแกรม Keeper ก็เคยเกิดเหตุการณ์แบบนี้มาแล้วครั้งหนึ่ง ตามที่ SecurityWeek เคยได้ทำการนำเสนอไปแล้ว ช่องโหว่นี้มีผลต่อ Keeper browser extensions ที่ติดตั้งไว้กับ desktop application หากผู้ใช้เลือกที่จะไม่ใช้งานก็จะไม่เกิดผลกระทบ ส่วนการทำงานของช่องโหว่นี้จะเกิดขึ้นเมื่อผู้ใช้เปิดเว็บไซต์ที่เป็นอันตราย Hacker ก็จะสามารถขโมยรหัสผ่านที่บันทึกไว้ได้

Craig Lurey CTO ของ Keeper ได้โพสในเว็บบล็อกถึงวิธีการว่า “Hacker จะทำการแทรกสคริปต์ที่เป็นอันตรายลงในเว็บเพจซึ่งโค้ดนั้จะถูกเรียกใช้ใน browser extension”

จากเหตุการณ์ที่เกิดขึ้นนี้ ทำให้หลายบริษัทต้องให้ความสำคัญในให้พนักงานใช้เทคโนโลยีในการจัดการรักษารหัสผ่าน และข้อมูลให้ปลอดภัย โปรแกรมจัดการรหัสผ่าน (Password Manager) ที่ดี และมีความปลอดภัย จะเป็นโปรแกรมที่มีประโยชน์ทางธุรกิจ และช่วยให้ผู้ใช้สามารถทำงานได้ง่ายขึ้น โปรแกรมจัดการรหัสผ่าน (Password Manager) ที่ดีจะต้องช่วยให้ผู้ใช้สามารถจดจำรหัสผ่านที่มีมากมายหลายรหัสได้, ต้องมีเครื่องมือที่ช่วยใส่รหัสผ่านให้โดยอัตโนมัติ, สามารถทำการเพิ่มรหัสผ่านได้ และต้องสามารถปรับปรุงระบบรักษาความปลอดภัยได้

ถึงยังไงผู้ใช้ยังคงจำเป็นต้องใช้โปรแกรมจัดการรหัสผ่าน (Password Manager) เพื่อช่วยจดจำรหัสผ่านในการเข้าไปจัดการ Software ต่างๆ จากปัญหานี้จะเห็นได้ว่าตั้งแต่มีกฏที่เกี่ยวข้องกับผู้ที่ใช้งาน Website และระบบขององค์กร ทำให้มีการใช้รหัสผ่านที่ซับซ้อนมากขึ้น, มีการเปลี่ยนแปลงรหัสผ่านตลอดเวลา อีกทั้งยังมีการใช้ตัวอักษรที่หลากหลายรูปแบบ ซึ่งมีการแนะนำถึงการใช้ตั้งรหัสผ่าน โดยให้ใช้รหัสผ่านยาว และง่ายต่อการจดจำแทนที่จะเป็นคำที่มีตัวอักษรพิเศษ

นอกจากนี้ ถ้าโปรแกรมจัดการรหัสผ่าน (Password Manager) มีวิธีการทางเทคนิคที่แข็งแกร่งในการรักษาความปลอดภัยของข้อมูลจะดีมากๆ โดยที่โปรแกรมจัดการรหัสผ่าน (Password Manager) ควรที่จะสามารถระบุสิทธิ์การเข้าใช้ และการจัดการการเข้าถึง ซึ่งจะเป็นการช่วยให้ฝ่าย IT ทราบว่าใครกำลังเข้าถึงส่วนใดของแหล่งข้อมูล อีกทั้ง ระบบของโปรแกรมจัดการรหัสผ่าน (Password Manager) ควรจะสามารถทำงานร่วมกับเครื่องมือรักษาความปลอดภัยอื่นๆ เพื่อช่วยในการตรวจหาสิ่งผิดปกติ แสดงภัยคุกคาม และแสดงขั้นตอนการแก้ไขให้ด้วย ซึ่งจะช่วยให้ฝ่าย IT ทำงานได้ง่ายยิ่งขึ้น

ในตอนนี้ทาง Keeper ได้ทำการแก้ไขปรับปรุงข้อบกพร่อง และทำการอัพเดท extension อัตโนมัติภายใน 24 ชั่วโมง อีกทั้งยังแก้ไขด้วยการนำฟีเจอร์ “Add to Existing” ออกไป ซึ่งผู้ใช้ Edge, Chrome และ Firefox สามารถอัปเดตผ่านทางเว็บเบราเซอร์ ส่วนผู้ใช้ Safari สามารถอัปเดตด้วยตัวเองได้ โดยไปที่หน้าดาวน์โหลดของ Keeper

ตามรายงานของ Lurey กล่าวว่า ตอนนี้ยังไม่พบผู้ใช้คนไหนได้รับผลกระทบจากช่องโหว่นี้ ซึ่งเขายังกล่าวต่อไปอีกว่า ผู้ที่ใช้แอพพลิเคชั่นบนโทรศัพท์ และบน desktop จะไม่ได้รับผลกระทบนี้ และไม่จำเป็นต้องทำการอัปเดตอีกด้วย

ที่มา : Security Intelligence