إن وعد مديري كلمات المرور بعدم قدرتهم على رؤية خزائنك ليس صحيحًا دائمًا

“2141213”>

صفر معرفة، صفر دليل

على عكس ما يقوله مديرو كلمات المرور، فإن اختراق الخادم قد يعني انتهاء اللعبة.

“1000” الارتفاع=”667″ سرك=”https://cdn.arstechnica.net/wp-content/uploads/2022/07/password-login.jpeg” تحميل بديل=”eager” فك التشفير=”async” أولوية الجلب=”high” >

على مدار الخمسة عشر عامًا الماضية، تطورت برامج إدارة كلمات المرور من أداة أمنية متخصصة يستخدمها خبراء التكنولوجيا إلى أداة أمنية لا غنى عنها للجماهير، مع”https://www.security.org/digital-safety/password-manager-annual-report/”> المقدرة وقد اعتمدها 94 مليون بالغ أمريكي – أو ما يقرب من 36 بالمائة منهم -. فهي لا تخزن كلمات المرور الخاصة بحسابات التقاعد والحسابات المالية وحسابات البريد الإلكتروني فحسب، بل تقوم أيضًا بتخزين بيانات اعتماد العملة المشفرة وأرقام بطاقات الدفع وغيرها من البيانات الحساسة.

اعتمد جميع كبار مديري كلمات المرور الثمانية مصطلح “المعرفة الصفرية” لوصف نظام التشفير المعقد الذي يستخدمونه لحماية خزائن البيانات التي يخزنها المستخدمون على خوادمهم. تختلف التعريفات قليلاً من بائع إلى بائع، ولكنها عمومًا تتلخص في تأكيد واحد جريء: أنه لا توجد وسيلة للمطلعين الخبيثين أو المتسللين الذين يتمكنون من اختراق البنية التحتية السحابية لسرقة الخزائن أو البيانات المخزنة فيها. هذه الوعود منطقية”https://arstechnica.com/information-technology/2022/12/lastpass-says-hackers-have-obtained-vault-data-and-a-wealth-of-customer-info/”>السابق الخروقات LastPass والتوقع المعقول بأن المتسللين على مستوى الدولة لديهم الدافع والقدرة على الحصول على خزائن كلمات المرور الخاصة بأهداف عالية القيمة.

تم فضح التأكيد الجريء

ومن بين هذه الادعاءات تلك التي قدمتها شركات Bitwarden، وDashlane، وLastPass، والتي يستخدمها معًا ما يقرب من 60 مليون شخص. بيتواردن,”https://bitwarden.com/pdf/resources-zero-knowledge-encryption-white-paper.pdf”> على سبيل المثاليقول أنه “حتى فريق Bitwarden لا يمكنه قراءة بياناتك (حتى لو أردنا ذلك).” داشلان، في هذه الأثناء،”https://www.dashlane.com/download/whitepaper-en.pdf”> يقول أنه بدون كلمة المرور الرئيسية للمستخدم، “لا يمكن للجهات الخبيثة سرقة المعلومات، حتى لو تم اختراق خوادم Dashlane.” لاست باس”https://blog.lastpass.com/posts/how-zero-knowledge-keeps-passwords-safe”> يقول أنه لا يمكن لأحد الوصول إلى “البيانات المخزنة في قبو LastPass الخاص بك، إلا أنت (ولا حتى LastPass).”

يظهر بحث جديد أن هذه الادعاءات ليست صحيحة في جميع الحالات، خاصة عندما يكون استرداد الحساب قيد التنفيذ أو يتم تعيين مديري كلمات المرور لمشاركة الخزائن أو تنظيم المستخدمين في مجموعات. قام الباحثون بإجراء هندسة عكسية أو تحليل دقيق لـ Bitwarden وDashlane وLastPass وحددوا الطرق التي يمكن من خلالها لشخص لديه سيطرة على الخادم – سواء إداريًا أو نتيجة تسوية – أن يسرق البيانات، وفي بعض الحالات، خزائن بأكملها. ابتكر الباحثون أيضًا هجمات أخرى يمكنها إضعاف التشفير إلى درجة إمكانية تحويل النص المشفر إلى نص عادي.

“إن نقاط الضعف التي نصفها عديدة، ولكن في الغالب ليست عميقة بالمعنى التقني،” هذا ما قاله الباحثون من ETH Zurich وUSI Lugano.”https://eprint.iacr.org/2026/058″> كتب. “ومع ذلك، يبدو أنه لم يتم العثور عليها من قبل، على الرغم من أكثر من عقد من البحث الأكاديمي حول أدوات إدارة كلمات المرور ووجود عمليات تدقيق متعددة للمنتجات الثلاثة التي درسناها. وهذا يحفز على المزيد من العمل، سواء من الناحية النظرية أو العملية.”

قال الباحثون في المقابلات إن العديد من مديري كلمات المرور الآخرين الذين لم يحللوها بشكل وثيق على الأرجح يعانون من نفس العيوب. الوحيد الذي كان لهم الحرية في تسميته هو 1Password. وأضافوا أن جميع برامج إدارة كلمات المرور تقريبًا معرضة للهجمات فقط عند تمكين ميزات معينة.

أخطر الهجمات – التي تستهدف Bitwarden وLastPass – تسمح لأي شخص من الداخل أو مهاجم بقراءة أو الكتابة إلى محتويات الخزائن بأكملها. وفي بعض الحالات، يستغلون نقاط الضعف في آليات الضمان الرئيسية التي تسمح للمستخدمين باستعادة الوصول إلى حساباتهم عندما يفقدون كلمة المرور الرئيسية الخاصة بهم. ويستغل آخرون نقاط الضعف في دعم الإصدارات القديمة من مدير كلمات المرور. سمح هجوم سرقة القبو ضد Dashlane بقراءة عناصر الخزينة ولكن ليس تعديلها عند مشاركتها مع مستخدمين آخرين.

تنظيم مفتاح التبديل القديم

يتم تنفيذ إحدى الهجمات التي تستهدف ضمان مفتاح Bitwarden أثناء تسجيل عضو جديد في عائلة أو مؤسسة. بعد أن يقوم مسؤول مجموعة Bitwarden بدعوة العضو الجديد، يصل عميل المدعو إلى الخادم ويحصل على مفتاح متماثل للمجموعة والمفتاح العام للمجموعة. يقوم العميل بعد ذلك بتشفير المفتاح المتماثل باستخدام المفتاح العام للمجموعة وإرساله إلى الخادم. النص المشفر الناتج هو ما يتم استخدامه لاسترداد حساب المستخدم الجديد. لا يتم التحقق من سلامة هذه البيانات مطلقًا عند إرسالها من الخادم إلى العميل أثناء جلسة تسجيل الحساب.

يمكن للخصم استغلال نقطة الضعف هذه عن طريق استبدال المفتاح العام للمجموعة بآخر من زوج المفاتيح الذي أنشأه الخصم. وبما أن الخصم يعرف المفتاح الخاص المقابل، فيمكنه استخدامه لفك تشفير النص المشفر ثم إجراء استرداد الحساب نيابة عن المستخدم المستهدف. والنتيجة هي أن الخصم يمكنه قراءة محتويات قبو الأعضاء بالكامل وتعديلها بمجرد قبول المدعو دعوة من عائلة أو مؤسسة.

عادةً، لن يعمل هذا الهجوم إلا عندما يقوم مسؤول المجموعة بتمكين وضع الاسترداد التلقائي، والذي، على عكس الخيار اليدوي، لا يتطلب تفاعلًا من العضو. ولكن نظرًا لأن سياسة المجموعة التي يقوم العميل بتنزيلها أثناء سياسة التسجيل لا يتم التحقق من سلامتها، فيمكن للخصوم ضبط الاسترداد على الوضع التلقائي، حتى لو اختار المسؤول الوضع اليدوي الذي يتطلب تفاعل المستخدم.

ومما يزيد من خطورة الهجوم أن الخصم في هذا الهجوم يحصل أيضًا على مفتاح مجموعة متماثل لجميع المجموعات الأخرى التي ينتمي إليها العضو نظرًا لأن هذه المفاتيح معروفة لجميع أعضاء المجموعة. إذا استخدمت أي من المجموعات الإضافية استرداد الحساب، فيمكن للخصم الحصول على خزائن الأعضاء لها أيضًا. أوضحت الورقة البحثية: “يمكن تكرار هذه العملية بطريقة تشبه الدودة، مما يؤدي إلى إصابة جميع المنظمات التي تم تمكين استرداد المفاتيح بها ولديها أعضاء متداخلون”.

يمكن تنفيذ هجوم ثانٍ يستهدف استرداد حساب Bitwarden عندما يقوم المستخدم بتدوير مفاتيح المخزن، وهو خيار”https://bitwarden.com/help/bitwarden-security-white-paper/#rotating-the-account-encryption-key”> يوصي Bitwarden إذا كان المستخدم يعتقد أن كلمة المرور الرئيسية الخاصة به قد تم اختراقها. عند تشغيل استرداد الحساب (إما يدويًا أو تلقائيًا)، يقوم عميل المستخدم بإعادة إنشاء النص المشفر للاسترداد، والذي يتضمن كما هو موضح سابقًا الحصول على مفتاح عام جديد مشفر باستخدام المفتاح العام للمؤسسة. أشار الباحثون إلى المفتاح العام للمجموعة على أنه pk_ORG. وهي تشير إلى المفتاح العام الذي يوفره الخصم بالرمز pk^ظرف_ORG، النص المشفر للاسترداد كـ c_تفصيل، والمفتاح المتماثل للمستخدم كـ k^′.

وأوضحت الورقة:

النقطة الأساسية هنا هي أن pk_ORG ولا يتم استرداده من خزينة المستخدم؛ بل يقوم العميل بإجراء عملية مزامنة مع الخادم للحصول عليه. والأهم من ذلك، أن بيانات المؤسسة التي توفرها عملية المزامنة هذه لم تتم المصادقة عليها بأي شكل من الأشكال. وهذا يوفر بالتالي للخصم فرصة أخرى للحصول على مفتاح المستخدم الخاص بالضحية، من خلال توفير مفتاح عام جديد pk.^ظرف_ORG، والتي يعرفون sk^ظرف_ORG وتعيين تسجيل استرداد الحساب على صحيح. سيقوم العميل بعد ذلك بإرسال نص مشفر لاسترداد الحساب ج_تفصيل يحتوي على مفتاح المستخدم الجديد، والذي يمكن للخصم فك تشفيره للحصول على k^“.

يسمح الهجوم الثالث على استرداد حساب Bitwarden للخصم باستعادة المفتاح الرئيسي للمستخدم. إنه ينتهك”https://bitwarden.com/help/about-key-connector/”> موصل رئيسي، وهي ميزة يستخدمها عملاء المؤسسات بشكل أساسي.

المزيد من الطرق لسرقة الخزائن

يستهدف الهجوم الذي يسمح بسرقة خزائن LastPass أيضًا ضمان المفاتيح، وتحديدًا في إصدارات Teams وTeams 5، عندما تتم إعادة تعيين المفتاح الرئيسي للعضو بواسطة مستخدم مميز يُعرف باسم المشرف الفائق. في المرة التالية التي يقوم فيها العضو بتسجيل الدخول من خلال ملحق متصفح LastPass، سيقوم عميله باسترداد زوج مفاتيح RSA المخصص لكل مسؤول متميز في المؤسسة، وتشفير مفتاحه الجديد مع كل واحد، وإرسال النص المشفر الناتج إلى كل مسؤول متميز.

نظرًا لأن LastPass يفشل أيضًا في مصادقة مفاتيح المشرف المتميز، يمكن للخصم مرة أخرى استبدال المفتاح العام للمسؤول المتميز (pk_{أدميرال}) بالمفتاح العام الخاص بهم (pk^ظرف_{أدميرال}).

وكتب الباحثون: “من الناحية النظرية، فإن المستخدمين في الفرق التي تم تمكين إعادة تعيين كلمة المرور فيها والذين تم اختيارهم لإعادة تعيينهم هم فقط الذين يجب أن يتأثروا بهذه الثغرة الأمنية”. “ومع ذلك، من الناحية العملية، يستعلم عملاء LastPass عن الخادم عند كل تسجيل دخول ويجلبون قائمة بمفاتيح المسؤول. ثم يرسلون بعد ذلك النصوص المشفرة لاسترداد الحساب بشكل مستقل عن حالة التسجيل.” ومع ذلك، يتطلب الهجوم من المستخدم تسجيل الدخول إلى LastPass باستخدام ملحق المتصفح، وليس تطبيق العميل المستقل.

تسمح العديد من الهجمات بقراءة الخزائن المشتركة وتعديلها، مما يسمح للمستخدم بمشاركة العناصر المحددة مع مستخدم واحد أو أكثر. عندما يشارك مستخدمو Dashlane عنصرًا ما، تقوم تطبيقات العملاء الخاصة بهم باختبار مفتاح متماثل جديد، والذي إما يقوم بتشفير العنصر المشترك مباشرة، أو عند المشاركة مع مجموعة، يقوم بتشفير مفاتيح المجموعة، والتي بدورها تقوم بتشفير العنصر المشترك. في كلتا الحالتين، لا تتم المصادقة على زوج (زوجات) مفاتيح RSA التي تم إنشاؤها حديثًا، والتي تنتمي إما إلى المستخدم أو المجموعة المشتركة. يتم بعد ذلك تشفير العنصر باستخدام المفتاح (المفاتيح) الخاصة.

يمكن للخصم توفير زوج المفاتيح الخاص به واستخدام المفتاح العام لتشفير النص المشفر المرسل إلى المستلمين. يقوم الخصم بعد ذلك بفك تشفير هذا النص المشفر باستخدام المفتاح السري المقابل لاستعادة المفتاح المتماثل المشترك. وبهذا يستطيع الخصم قراءة جميع العناصر المشتركة وتعديلها. عند استخدام المشاركة في Bitwarden أو LastPass، فمن الممكن حدوث هجمات مماثلة وتؤدي إلى نفس النتيجة.

هناك طريقة أخرى للمهاجمين أو الخصوم الذين يتحكمون في الخادم وهي استهداف التوافق مع الإصدارات السابقة الذي يوفره مديرو كلمات المرور الثلاثة لدعم الإصدارات الأقدم والأقل أمانًا. على الرغم من التغييرات المتزايدة المصممة لتقوية التطبيقات ضد الهجمات الموضحة في الورقة، يستمر مديرو كلمات المرور الثلاثة في دعم الإصدارات دون هذه التحسينات. يعد هذا التوافق مع الإصدارات السابقة قرارًا متعمدًا يهدف إلى منع المستخدمين الذين لم يقوموا بالترقية من فقدان الوصول إلى خزائنهم.

خطورة هذه الهجمات أقل من تلك التي تم وصفها من قبل، باستثناء هجوم واحد محتمل ضد Bitwarden. استخدمت الإصدارات الأقدم من مدير كلمات المرور مفتاحًا متماثلًا واحدًا لتشفير وفك تشفير مفتاح المستخدم من الخادم والعناصر الموجودة داخل الخزائن. سمح هذا التصميم باحتمال قيام الخصم بالتلاعب بالمحتويات. لإضافة عمليات التحقق من السلامة، توفر الإصدارات الأحدث تشفيرًا معتمدًا من خلال زيادة المفتاح المتماثل بمفتاح”https://en.wikipedia.org/wiki/HMAC”>إتش إم إيه سي وظيفة التجزئة.

لحماية العملاء الذين يستخدمون إصدارات أقدم من التطبيق، يحتوي النص المشفر لـ Bitwarden على سمة إما 0 أو 1. يشير الرقم 0 إلى التشفير المصادق عليه، بينما يدعم الرقم 1 النظام الأقدم غير المصادق عليه. تستخدم الإصدارات الأقدم أيضًا التسلسل الهرمي الرئيسي الذي أهمله Bitwarden لتقوية التطبيق. لدعم التسلسل الهرمي القديم، تقوم إصدارات العميل الأحدث بإنشاء زوج مفاتيح RSA جديد للمستخدم إذا لم يوفر الخادم واحدًا. سيستمر الإصدار الأحدث في تشفير جزء المفتاح السري باستخدام المفتاح الرئيسي في حالة عدم توفير نص مشفر للمستخدم بواسطة الخادم.

هذا التصميم يفتح Bitwarden أمام العديد من الهجمات. الأكثر خطورة، السماح بقراءة (ولكن ليس تعديل) جميع العناصر التي تم إنشاؤها بعد تنفيذ الهجوم. على مستوى مبسط، يعمل هذا لأن الخصم يمكنه تزييف النص المشفر الذي يرسله الخادم ويجعل العميل يستخدمه لاشتقاق مفتاح مستخدم معروف للخصم.

التعديل يؤدي إلى استخدام CBC (“https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation”> كتلة التشفير ج هاينينغ)، وهو أحد أشكال التشفير الذي يكون عرضة للعديد من الهجمات. يمكن للخصم استغلال هذا النموذج الأضعف باستخدام”https://en.wikipedia.org/wiki/Padding_oracle_attack”> الحشو هجوم أوراكل واستمر في استرداد النص العادي للقبو. نظرًا لأن حماية HMAC تظل سليمة، فإن التعديل غير ممكن.

والمثير للدهشة أن Dashlane كان عرضة لهجوم أوراكل مماثل. ابتكر الباحثون سلسلة هجوم معقدة من شأنها أن تسمح لخادم ضار بإرجاع قبو مستخدم Dashlane إلى CBC وتصفية المحتويات. ويقدر الباحثون أن الهجوم سيتطلب حوالي 125 يومًا لفك تشفير النص المشفر.

لا تزال الهجمات الأخرى ضد مديري كلمات المرور الثلاثة تسمح للخصوم بتقليل العدد المحدد من تكرارات التجزئة بشكل كبير – في حالة Bitwarden وLastPass، من الإعداد الافتراضي البالغ 600000 إلى 2. التجزئة المتكررة لكلمات المرور الرئيسية تجعل اختراقها أكثر صعوبة في حالة حدوث خرق للخادم يسمح بسرقة التجزئة. بالنسبة لجميع برامج إدارة كلمات المرور الثلاثة، يرسل الخادم عدد التكرار المحدد إلى العميل، دون وجود آلية لضمان استيفائه للرقم الافتراضي. والنتيجة هي أن الخصم يتلقى انخفاضًا بمقدار 300000 مرة في الوقت والموارد اللازمة لاختراق التجزئة والحصول على كلمة المرور الرئيسية للمستخدم.

مهاجمة المرونة

تستهدف ثلاث من الهجمات – واحدة ضد Bitwarden واثنتان ضد LastPass – ما يسميه الباحثون “التشفير على مستوى العنصر” أو “قابلية تطويع القبو”. بدلاً من تشفير المخزن في كائن ثنائي كبير الحجم متجانس، غالبًا ما يقوم مديرو كلمات المرور بتشفير العناصر الفردية، وأحيانًا الحقول الفردية داخل العنصر. يتم تشفير جميع هذه العناصر والحقول بنفس المفتاح. تستغل الهجمات هذا التصميم لسرقة كلمات المرور من عناصر خزينة محددة.

يقوم الخصم بشن هجوم عن طريق استبدال النص المشفر في حقل عنوان URL، الذي يخزن الرابط الذي يحدث فيه تسجيل الدخول، بالنص المشفر لكلمة المرور. لتعزيز سهولة الاستخدام، يوفر مديرو كلمات المرور رمزًا يساعد في التعرف على الموقع بصريًا. للقيام بذلك، يقوم العميل بفك تشفير حقل URL وإرساله إلى الخادم. ثم يقوم الخادم بإحضار الرمز المقابل. نظرًا لعدم وجود آلية لمنع تبديل حقول العناصر، يقوم العميل بفك تشفير كلمة المرور بدلاً من عنوان URL وإرسالها إلى الخادم.

قال كيني باترسون، أحد المؤلفين المشاركين في الورقة البحثية: “لن يحدث هذا إذا كان لديك مفاتيح مختلفة لحقول مختلفة أو إذا قمت بتشفير المجموعة بأكملها في مسار واحد”. “يجب أن تكتشف عملية تدقيق العملات المشفرة هذا الأمر، ولكن فقط إذا كنت تفكر في خوادم ضارة. فالخادم ينحرف عن السلوك المتوقع.

ويلخص الجدول التالي أسباب وعواقب الهجمات الـ 25 التي خططوا لها:

“640” الارتفاع=”403″ سرك=”https://cdn.arstechnica.net/wp-content/uploads/2026/02/unnamed-file-640×403.png” فك التشفير البديل=”async” تحميل=”lazy” >

الائتمان: سكارلاتا وآخرون.

نقطة نفسية عمياء

يقر الباحثون بأن التسوية الكاملة لخادم إدارة كلمات المرور تمثل تحديًا كبيرًا. لكنهم يدافعون عن نموذج التهديد.

وكتبوا: “يمكن منع الهجمات على البنية التحتية لخادم المزود من خلال تدابير أمنية تشغيلية مصممة بعناية، ولكن من المعقول افتراض أن هذه الخدمات مستهدفة من قبل خصوم متطورين على مستوى الدولة، على سبيل المثال عبر هجمات سلسلة توريد البرامج أو التصيد الاحتيالي”. “علاوة على ذلك، فإن بعض مقدمي الخدمات لديهم تاريخ من الاختراقات – على سبيل المثال، عانى LassPass من اختراقات في عامي 2015 و2022، وحادث أمني خطير آخر في عام 2021.

ومضوا في الكتابة: “على الرغم من أن أيًا من الانتهاكات التي علمنا بها لم تتضمن إعادة برمجة الخادم لجعله ينفذ إجراءات ضارة، إلا أن هذا يذهب خطوة واحدة فقط إلى ما هو أبعد من الهجمات على موفري خدمة إدارة كلمات المرور التي تم توثيقها. وقد تم توثيق الهجمات النشطة على نطاق أوسع في البرية.”

جزء من التحدي المتمثل في تصميم برامج إدارة كلمات المرور أو أي خدمة تشفير شاملة هو الميل إلى الشعور الزائف بالأمان لدى العميل.

وأوضح باترسون، “إنها مشكلة نفسية عندما تكتب برنامج العميل والخادم على حد سواء”. “يجب عليك كتابة العميل بطريقة دفاعية فائقة، ولكن إذا كنت تكتب الخادم أيضًا، فبالطبع لن يرسل الخادم الخاص بك حزمًا مشوهة أو معلومات سيئة. لماذا تفعل ذلك؟”

سواء كانت حيل تسويقية أم لا، فإن “المعرفة الصفرية” موجودة لتبقى

وفي العديد من الحالات، قام المهندسون بالفعل بإصلاح نقاط الضعف الموصوفة بعد تلقي تقارير خاصة من الباحثين. لا يزال المهندسون يقومون بتصحيح نقاط الضعف الأخرى. وفي بياناتهم، أشار ممثلو Bitwarden وLastpass وDashlane إلى المستوى العالي لنموذج التهديد، على الرغم من البيانات الموجودة على مواقعهم الإلكترونية والتي تؤكد للعملاء أن منتجاتهم ستصمد أمام ذلك. جنبًا إلى جنب مع ممثلي 1Password، لاحظوا أيضًا أن منتجاتهم تتلقى بانتظام عمليات تدقيق أمنية صارمة وتخضع لتدريبات الفريق الأحمر.

كتب ممثل Bitwarden:

تقوم Bitwarden باستمرار بتقييم وتحسين برامجها من خلال المراجعة الداخلية وتقييمات الجهات الخارجية والأبحاث الخارجية. تحلل ورقة ETH Zurich نموذج التهديد الذي يتصرف فيه الخادم نفسه بشكل ضار ويحاول عمدًا التعامل مع المواد الأساسية وقيم التكوين. يفترض هذا النموذج تسوية كاملة للخادم وسلوكًا عدائيًا يتجاوز افتراضات التشغيل القياسية للخدمات السحابية.

وقال LastPass: “نحن نتبع نهجًا مستمرًا متعدد الطبقات لضمان الأمان يجمع بين الرقابة المستقلة والمراقبة المستمرة والتعاون مع مجتمع البحث. ويشتمل اختبار الأمان السحابي لدينا على السيناريوهات المشار إليها في نموذج تهديد الخادم الضار الموضح في البحث.”

وتشمل التدابير المحددة ما يلي:

“https://compliance.lastpass.com/?itemName=product_features&source=click&itemUid=99109b76-4fb1-47e1-97d1-07449b22d6ce”>اختبار الاختراق السنوي (متاح من خلال NDA) مع خبراء ذوي سمعة طيبة في جميع تطبيقاتنا وبنيتنا التحتية.
أ”https://bugcrowd.com/engagements/lastpass”> برنامج مكافأة الأخطاء
اختبار الاختراق الداخلي للتحقق من صحة الضوابط في بيئة شركتنا
المشاركة في”https://aws.amazon.com/security/security_start_right_run_well/”>برنامج تحسين الأمان الخاص بـ AWS، حيث نجري مراجعة سنوية متعمقة مع متخصصي AWS Security ونحدد خارطة طريق للتحسين المستمر للبنية التحتية السحابية لدينا
اختبار التطبيق الديناميكي المستمر

جاء في بيان من Dashlane ما يلي: “تجري Dashlane اختبارات داخلية وخارجية صارمة لضمان أمان منتجنا. عندما تنشأ مشكلات، نعمل بسرعة للتخفيف من أي مخاطر محتملة والتأكد من أن العملاء لديهم وضوح بشأن المشكلة والحل الذي نقدمه وأي إجراءات مطلوبة.”

أصدرت 1Password بيانًا يقرأ جزئيًا:

قام فريق الأمان لدينا بمراجعة الوثيقة بعمق ولم يعثر على أي نواقل هجوم جديدة بخلاف تلك الموثقة بالفعل في ورقتنا البيضاء الخاصة بالتصميم الأمني المتاحة للعامة.

نحن ملتزمون باستمرار بتعزيز بنية الأمان لدينا وتقييمها في مقابل نماذج التهديدات المتقدمة، بما في ذلك سيناريوهات الخوادم الضارة مثل تلك الموضحة في البحث، وتطويرها بمرور الوقت للحفاظ على وسائل الحماية التي يعتمد عليها مستخدمونا.

1كلمة المرور”https://1password.com/features/zero-knowledge-encryption/”> ويقول أيضاأن تشفير المعرفة الصفرية الذي يوفره “يعني أنه لا يمكن لأحد غيرك – ولا حتى الشركة التي تقوم بتخزين البيانات – الوصول إلى بياناتك وفك تشفيرها. وهذا يحمي معلوماتك حتى لو تم اختراق الخادم الذي تم الاحتفاظ بها فيه.” في الورقة البيضاء للشركة المرتبطة أعلاه، يبدو أن 1Password يسمح بهذا الاحتمال عندما يقول:

في الوقت الحاضر، لا توجد طريقة عملية يمكن للمستخدم من خلالها التحقق من أن المفتاح العام الذي يقوم بتشفير البيانات إليه ينتمي إلى المستلم المقصود. ونتيجة لذلك، سيكون من الممكن لخادم 1Password الضار أو المخترق توفير مفاتيح عامة غير شريفة للمستخدم، وتنفيذ هجوم ناجح. في ظل مثل هذا الهجوم، سيكون من الممكن لخادم 1Password الحصول على مفاتيح تشفير القبو مع قدرة قليلة للمستخدمين على اكتشافها أو منعها.

يتضمن بيان 1Password أيضًا تأكيدات بأن الخدمة تخضع بشكل روتيني لاختبارات أمنية صارمة.

ودافعت الشركات الأربع عن استخدامها لمصطلح “صفر معرفة”. كما هو مستخدم في هذا السياق، يمكن الخلط بين المصطلح و”https://en.wikipedia.org/wiki/Zero-knowledge_proof”> براهين صفر المعرفة، وهي طريقة تشفير غير مرتبطة تمامًا تسمح لطرف واحد أن يثبت لطرف آخر أنه يعرف معلومة ما دون الكشف عن أي شيء عن المعلومات نفسها. ومن الأمثلة على ذلك الدليل الذي يوضح أن النظام يمكنه تحديد ما إذا كان عمر شخص ما يزيد عن 18 عامًا دون معرفة تاريخ الميلاد الدقيق.

يبدو أن مصطلح المعرفة الصفرية المغشوش الذي يستخدمه مديرو كلمات المرور قد ظهر إلى حيز الوجود في عام 2007، عندما استخدمته شركة تدعى SpiderOak لوصف بنيتها التحتية السحابية لمشاركة البيانات الحساسة بشكل آمن. ومن المثير للاهتمام، سبايدر أوك”https://news.ycombinator.com/item?id=13303436″> تقاعد رسميا هذا المصطلح بعد عقد من الزمن بعد تلقي معارضة المستخدم.

وقال ماتيو سكارلاتا، المؤلف الرئيسي للدراسة: “للأسف، هذه مجرد ضجة تسويقية، تشبه إلى حد كبير التشفير العسكري”. “يبدو أن المعرفة الصفرية تعني أشياء مختلفة لأشخاص مختلفين (على سبيل المثال، أخبرنا LastPass أنهم لن يتبنوا نموذج تهديد خادم ضار داخليًا). وعلى عكس “التشفير الشامل”، يعد “تشفير المعرفة الصفرية” هدفًا بعيد المنال، لذا من المستحيل معرفة ما إذا كانت الشركة تفعل ذلك بشكل صحيح.

“https://cdn.arstechnica.net/wp-content/uploads/2018/10/Dang.jpg” البديل=”Photo of Dan Goodin”>

دان جودين هو محرر أمني أول في Ars Technica، حيث يشرف على تغطية البرامج الضارة والتجسس على الكمبيوتر وشبكات الروبوت واختراق الأجهزة والتشفير وكلمات المرور. يستمتع في أوقات فراغه بالبستنة والطبخ ومتابعة المشهد الموسيقي المستقل. يقع دان في سان فرانسيسكو. اتبعه في”https://infosec.exchange/@dangoodin” rel=”me”>هنا على مستودون و”https://bsky.app/profile/dangoodin.bsky.social”>هنا على بلوسكي. اتصل به على Signal على DanArs.82.

“0 0 80 80″>“none” عرض السكتة الدماغية=”0″ د=”M0 0h80v80H0z”/>“none” عرض السكتة الدماغية=”0″ د=”M0 0h80v80H0z”/>“currentColor” مسار المقطع=”url(#bubble-zero_svg__b)”>”M80 40c0 22.09-17.91 40-40 40S0 62.09 0 40 17.91 0 40 0s40 17.91 40 40″/>”M40 40 .59 76.58C-.67 77.84.22 80 2.01 80H40z”/> 83 تعليق

“https://cdn.arstechnica.net/wp-content/uploads/2026/02/GettyImages-1314152372-768×432.jpg” البديل=”Listing image for first story in Most Read: A fluid can store solar energy and then release it as heat months later” فك التشفير=”async” تحميل=”lazy”>

اقرأ المزيد