من به عنوان یه آدم محتاط همیشه بهترین راه نگه داری رمز رو تو PasswordManagers میدونستم و به شخصه از LastPass استفاده میکردم تا اینکه بعضی از امکاناتش پولی شد رفتم سراغ Bitwarden اما شرکت ما هنوز از LastPass استفاده میکرد مثل خیلی از شرکت های دیگه.
یکی از قابلیت های LastPass شیر پسورد بدون اجازه دادن دیدن اون پسورده به شکلی که شما با داشتن LastPass میتونید و رفتن به سایتی که شیر شده گذینه Fill رو بزنید و خودش پر میکنه ولی شما نمی دونید پسورد چیه اگر هم اونی که شیر کرده میتونه دسترسی رو از شما بگیره و پسوردش رو عوض نکنه فقط کافیه شما رو حذف کنه.
این ویژگی واسه خیلی شرکت ها خوبه که بهطور موقت میتونن دسترسی به کارمنداشون بدن.
خب با زیاد شد این لیست پسورد های شیر شده من به این فکر افتادم که آیا واقعا فهمیدن این پسورد ها اونقدرا سخته ?
هدف تست اینه که اگه مثلا ما یه سایت داشته باشیم بعد اونو شیر کنن باهامون و تیک View رو نزنن میشه پیداش کرد. خب من با یه سایت ساده بدون HTTPS شروع میکنم واسه شروع فک کنم تست بدی نباشه.
خب یه یوزر و پسورد ساده میسازیم (test, test) و شیر میکنیم
بعد از اینکه شما شیر کردید و تائید درخواست شیر در ایمیل فرایند شیر تکمیل خواهد شد.
اگر بخواهید پسورد رو که با شما شیر شده ببینید به این ارور خواهید رسید.
ایده اینه که اگه ما سایت مورد نظر رو Clone کنیم و توی DNS ادرس عوض کنیم میتونیم LastPass رو گول بزنیم که پسورد رو به ما بده. درواقع ما داریم از Phishing استفاده میکنیم با این تفاوت که این حمله را روی خودمان میزنیم.
با یه سرچ ساده اولین ابزار Clone رو که میاد استفاده میکنیم.
خب با یه کلون ساده و بالا آوردن کلون توی VM کار تمومه و یه سایت مثل سایت اصلی داریم.
خب واسه عوض کردن DNS از شانس خوب من زیاد کار سختی نیست چون DNS اصلی من از Pihole هست که قابلیت این کارو تو Local DNS Records داره و براحتی انجام میشه اگر شما از سرویس ها Local DNS استفاده نمیکنید میتونید به صورت تست تو فایل Hosts بزارید که همین نتیجه رو بگیرید.
حالا با یه چک ساده با Dnslookup میشه مطمئن شد از اینکه همه چیز داره کار میکنه.
نتیجه نشون میده که DNS با Pihole حل میشه و IP که بر میگردونه درسته.
خب حالا وقت تسته ببینیم سایت میاد بالا یا نه
عه مگه نباید میرفت مستقیم توی Login پیج این که سایت اصلیه !!!
بعد از چک چندباره و تست با FireFox معلوم شد که احتمالا LastPass دخالت میکنه و IP که قبلا سیو کرده رو میفرسته به Chrome
اینجا چندتا سؤال به وجود میاد:
درباره این که توی نسخه وب میشه یا نه باید بگم در نسخه وب خودش پسورد رو پر نمی کنه و این ویژگی حذف کردن دلیلش هم احتمالا بخاطر اینه که نمی تونه تائید کنه خود سایته.
درباره اینکه میشه درسترسی ازش گرفت یا نه باید بگم افزونه های Chrome دسترسی های بیشتری دارند نسبت به افزونه های FireFox، علاوه بر این کدی که این کارو انجام میده یعنی جلوگیری میکنه که سایت از DNS استفاده کنه باید در مرورگر هم تنظیم بشه که این معمولا نیاز به Reopen کردن مرورگر داره.
راه حل تست شده اینه که اول مرورگر FireFox رو باز کنید بعد وارد ادرس سایت شوید باید بدون مشکل وارد سایت کلون شده بشید. پس از آن با نصب افزونه مرورگر و وارد کردن رمز خود میتوانید وارد LastPass شوید. به محض وارد شدن خواهید دید که امکان Fill کردن سایت به وجود میاد و با Fill کردن به راحتی سایت کلون شده Username و Password رو خواهد داشت.
این تست با نسخه 93.0 FireFox و 4.81.0.3 LastPass انجام شده.
جزئیات این مشکل به ایمیل LastPass ارسال خواهد شد و احتمالا بزودی این مشکل حل خواهد شد.
ولی به طور کلی هنوز استفاده از PasswordManager ها رو توصیه میکنم چراکه در امنیت اصلی آنها اصلا شکی نیست و احتمال اینکه کسی غیر از شما دسترسی به پسورد شما پیدا کنه خیلی کمه از طرفی با PasswordManager ها شما میتوانید از رمز های بسیار طولانی و رندوم استفاده کنید که امنیت حساب های اینترنتی شما رو خیلی بالا خواهد برد.