Son 15 yılda, parola yöneticileri teknoloji meraklılarının kullandığı niş bir güvenlik aracından kitleler için vazgeçilmez bir güvenlik aracına dönüştü. Milyonlarca kişi tarafından kullanılan bu araçlar, yalnızca şifreleri değil, aynı zamanda kritik finansal bilgileri, kripto para birimi kimlik bilgilerini ve diğer hassas verileri de saklıyor.
Piyasada öne çıkan parola yöneticilerinin neredeyse tamamı, kullanıcı verilerini sakladıkları dijital kasaları korumak için kullandıkları karmaşık şifreleme sistemlerini açıklamak üzere "sıfır bilgi" (zero knowledge) terimini benimsiyor. Bu terim, genel olarak kötü niyetli çalışanların veya bulut altyapısını ele geçirmeyi başaran hackerların, kullanıcılara ait şifre kasalarına veya içerdikleri verilere erişmesinin mümkün olmadığı yönünde cesur bir güvence sunuyor. Geçmişte yaşanan bazı güvenlik ihlallerinin ardından, bu tür vaatler mantıklı görünse de, yapılan yeni araştırmalar bu güvencelerin her zaman geçerli olmadığını gösteriyor.
Cesur Güvenceler Sorgulanıyor
Bitwarden, Dashlane ve LastPass gibi milyonlarca kullanıcıya hizmet veren popüler parola yöneticileri, "biz bile verilerinizi okuyamayız" veya "sunucularımız ele geçirilse bile ana şifreniz olmadan bilgilere erişilemez" gibi vaatlerde bulunuyor. Ancak, yapılan araştırmalar özellikle hesap kurtarma özelliklerinin aktif olduğu veya parola kasalarının paylaşıldığı durumlarda, sunucu üzerinde kontrol sahibi birinin verilere ve hatta tüm kasalara erişebileceğini ortaya koyuyor. Hatta bazı durumlarda şifrelemenin zayıflatılarak düz metne dönüştürülebileceği saldırı yöntemleri de tespit edilmiş durumda.
Bu araştırmalar, şifre yöneticileri üzerinde uzun yıllardır yapılan akademik çalışmalara rağmen, daha önce bulunamayan bazı güvenlik açıklarını gözler önüne seriyor. Analiz edilen üç popüler ürün dışında, benzer zafiyetlerin diğer parola yöneticilerinde de bulunma ihtimali yüksek. Bu saldırıların çoğu, belirli özelliklerin etkinleştirilmesi durumunda ortaya çıkıyor.
Hesap Kurtarma Mekanizmalarındaki Zafiyetler
Araştırmacılar tarafından tespit edilen saldırılardan biri, özellikle Bitwarden ve LastPass'in hesap kurtarma mekanizmalarındaki zafiyetleri hedef alıyor. Yeni bir kullanıcının bir gruba veya aile hesabına dahil edilmesi sırasında, sunucu ile istemci arasındaki iletişimde kimlik doğrulama eksikliği kullanılarak, kötü niyetli bir aktör grubun genel şifreleme anahtarını ele geçirebiliyor. Bu sayede, yeni üyenin kasasına tam erişim sağlayabiliyor ve hatta, otomatik kurtarma modu etkinse, kullanıcıdan bağımsız olarak bu işlemi gerçekleştirebiliyor.
Bu durum, bir kullanıcının ana şifresini kaybettiğinde hesabını kurtarmasına olanak tanıyan özelliklerin, aynı zamanda kötü niyetli kişilere de hesaplara erişim imkanı sunabileceğini gösteriyor. Saldırgan, bu zafiyeti kullanarak diğer gruplardaki üyelerin kasalarına da benzer şekilde erişim sağlayabiliyor ve bu durum adeta bir solucan gibi yayılım gösterebiliyor.
Paylaşılan Kasalarda Yeni Tehditler
Parola yöneticilerinin sunduğu bir diğer kullanışlı özellik olan kasaların paylaşılması da yeni güvenlik riskleri barındırıyor. Araştırmacılar, Dashlane, Bitwarden ve LastPass gibi araçlarda, paylaşılan öğelerin şifrelenmesinde kullanılan RSA anahtar çiftlerinin doğrulanmamasından kaynaklanan zafiyetler bulmuş. Bu zafiyet sayesinde, kötü niyetli bir aktör kendi anahtar çiftini kullanarak paylaşılan öğelere erişebilir ve bu öğeleri okuyup değiştirebilir.
Ayrıca, tüm parola yöneticilerinin sunduğu geriye dönük uyumluluk özelliği de bazı güvenlik açıklarına yol açıyor. Eski ve daha az güvenli sürümleri destekleme kararı, daha yeni ve güvenli sürümlerdeki iyileştirmelerin tam olarak fayda sağlamasını engelliyor. Bu durum, özellikle eski şifreleme yöntemlerinin kullanıldığı durumlarda, saldırganların verilere erişimini kolaylaştırabiliyor.
Pazarlama Hilesi mi, Yoksa Ciddi Bir Risk mi?
Yapılan araştırmalar, parola yöneticilerinin pazarlama dilinde sıkça kullandığı "sıfır bilgi" teriminin, her zaman vaat edildiği kadar mutlak bir güvenlik sağlamadığını gösteriyor. Mühendisler, bu zafiyetlerin birçoğunu düzeltmiş olsalar da, bazıları hala devam ediyor. Parola yöneticisi şirketleri, sunulan zafiyetlerin genellikle karmaşık ve zor gerçekleştirilebilir tehdit modellerine dayandığını savunsa da, bu tür açıkları hedef alabilecek sofistike saldırganların varlığı göz ardı edilemez.
Araştırmacılar, "sıfır bilgi" teriminin, gerçek "sıfır bilgi kanıtı" (zero-knowledge proof) adı verilen kriptografik yöntemle karıştırılabileceğini ve çoğunlukla bir pazarlama sloganı olarak kullanıldığını belirtiyor. Gerçek anlamda bir "sıfır bilgi şifrelemesi" elde etmenin oldukça zorlu bir hedef olduğunu ve şirketlerin bu konuda ne kadar başarılı olduğunu anlamanın güç olduğunu vurguluyorlar.
