لقد أوصت خبراء تكنولوجيا المعلومات والأمان منذ فترة طويلة باستخدام مديري كلمة المرور للحفاظ على بيانات تسجيل الدخول الخاصة بك آمنة وفي مكان واحد. تعتبر عمومًا موثوقة وآمنة ، ولكن تم الآن اكتشاف ضعف شائع في 11 مقدمًا يمكن للمتسللين استغلالهم. (راجع توصياتنا الخاصة لمديري كلمات المرور الأكثر جدارة بالثقة.)
اكتشف الباحثون الأمنيون هذا الضعف من قبل باحثين الأمن من أخبار المتسلل. لقد أثر مديرو كلمة المرور التالية على ملحقات المتصفح التي تعتمد على DOM (نموذج كائن المستند):
- 1Password
- Bitwarden
- Dashlane
- expass
- كلمات مرور icloud
- حارس
- LastPass
- logmeonce
- Nordpass
- protonpass
- roboform
تتضمن هذه القائمة بعضًا من مديري كلمات المرور الأكثر شهرة والأكثر استخدامًا ، مما يؤثر على ما يقدر بنحو 40 مليون مستخدم في جميع أنحاء العالم. لذلك ينصح الحذر الشديد. لم يتم تصحيح عيب الأمان بعد من قبل معظم هؤلاء مقدمي الخدمات ، لذلك لا يزال من الممكن أن تحدث سرقة البيانات حتى كتابة هذه السطور.
كيف يحصل المتسللون على كلمات المرور الخاصة بك
تُعرف الضعف المعروف باسم ClickJacking. يمكن للمهاجمين إغراء المستخدمين المطمئنين إلى مواقع الويب المزيفة التي تقليد مواقع الويب الحقيقية وتبدو حقيقية بشكل خادع ، باستثناء المزيفين يحتوي على عناصر غير مرئية.
في بعض الحالات ، يمكن للمستخدمين تشغيل مدير كلمة المرور عن غير قصد بنقرة خاطئة واحدة ، والتي تحاول بعد ذلك إدخال بيانات الوصول تلقائيًا. يراقب المتسللون هذه الإدخالات المحاولات والتداخل ، والوصول إلى مدير كلمة المرور وتولي كلمات المرور المحفوظة. عادةً ما يمر الهجوم دون أن يلاحظه أحد حيث يغلق المستخدمون ببساطة الصفحة المتأثرة ولا يتلقون أي تحذير من إمكانية الوصول إلى شخص ما إلى مدير كلمة المرور.
فلماذا يتعرض مديرو كلمة المرور الآن لخطر أن يصبحوا بوابة للهجمات باستخدام هذه الطريقة؟ يرجع ذلك إلى DOM ، الذي يحتوي على ضعف يسمح لهذا النوع من الهجوم.
بالمناسبة ، لا يمكن اعتراض كلمات المرور ليس فقط ولكن أيضًا أنواع أخرى من البيانات الحساسة بهذه الطريقة ، بما في ذلك تفاصيل بطاقة الائتمان المخزنة والأسماء والعناوين وأرقام الهواتف والمزيد ، والتي يمكن استخدامها بعد ذلك في هجمات التصيد.
على الرغم من أن الضعف تم الإبلاغ عن مقدمي الخدمات المتأثرين في أبريل 2025 ، إلا أن أقل من نصفهم استجابوا للتحذير. قدمت Bitwarden إصدارًا جديدًا من البرنامج المساعد الذي يعالج المشكلة.
كيف تحمي نفسك
لا يوجد حل واحد يناسب الجميع لحماية نفسك من النقر. كما هو الحال دائمًا ، من المهم ألا تنقر أبدًا على روابط غير معروفة أو غير متوقعة ، حتى لو أدت إلى مواقع الويب المفترضة. من الأكثر أمانًا أن تفتح علامة تبويب جديدة يدويًا في متصفحك والانتقال مباشرة إلى الموقع ، أو استخدام الإشارات المرجعية الموثوقة الخاصة بك للوصول السريع.
إذا كنت تستخدم متصفحًا قائمًا على الكروم (وهو معظم المتصفحات هذه الأيام) ومدير كلمة المرور ، فمن المستحسن أن تقوم بتبديل إعدادات ملء إدارة كلمة المرور الخاصة بك إلى “النقر فوق”. هذه خطوة مهمة تساعد على منع إدخال كلمات المرور أو إكمالها تلقائيًا دون تأكيد النية أولاً.
بدلاً من ذلك ، قد ترغب في إلغاء تنشيط الإكمال التلقائي لعناوين البريد الإلكتروني (والبيانات الأخرى) في إعدادات المتصفح ضمن قسم “المطل التلقائي وكلمات المرور”.
ظهرت هذه المقالة في الأصل على PC-WELT Sister Publication وتم ترجمتها وتوطينها من الألمانية.