واضح آرشیو وب فارسی:سایت ریسک: آسیب پذیری Yahoo, Hotmail, Gmail در مقابل تغییر رمزعبور PhonieX 23 مهر 1387, 19:42فرامینگهام- Yahoo Mail تنها سرویس پستی وابسته به وب نیست که میتواند از طریق راههای تقلبی رمز عبور اکانت فردی را افشا نماید، همان ترفندی که به اعتقاد عدهای به وسیله آن پست الکترونیکی سارا پیلین مورد تهاجم قرار گرفت. Computerworld با استفاده از آزمایشات سریعی به این نتیجه رسید که Gmail شرکت گوگل، Windows Live Hotmail شرکت مایکروسافت و Mail شرکت Yahoo همگی از طریق مکانیزمهای خودکار تنظیم مجدد رمز عبور عمل میکنند که با دانستن اسم کاربری مربوط به یک اکانت و دانستن جواب یکی از سوالهای اضطراری، میتوان از این سرویسها سوءاستفاده نمود. گزارشگران و ویراستاران Computerworld توانستند به طور غیر مجاز، وارد اکانتهای خود و همکارانشان بر روی هر سه سرویس شوند و تنها با داشتن اسم کاربری اکانت و پاسخ صحیح به یکی از سئوالات متداول امنیتی محدود ازجمله اسم پیش از ازدواج مادر، اسم حیوان خانگی مورد علاقه و یا اسم اولین ماشین ساخته شده، رمز عبور را تغییر دهند. برخی اطلاعات فردی که میتواند جواب سئوالات امنیتی باشد، به راحتی قابل پیدا کردن هستند؛ کافیست سایتهای عمومی networking را بگردید، همان کاری که هکری با نام rubico ادعا میکند انجام داده و توانسته جوابهای لازم برای دسترسی به اکانت پیلین را از آنها استخراج کند. هکرهایی که اسم کاربری یک اکانت را بدانند- - که معمولاً همان قسمت پیش از @ در آدرس الکترونیکی میباشد- - و بتوانند واژه CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart -آزمایش Turing کاملاً خودکار برای تشخیص کامپیوتر از انسان) را که اسمی برای کاراکترهای درهم ریخته و به رمز شده بوده و برای ایجاد مانع بر سر راه botهای خودکار طراحی شدهاند، به درستی تایپ نمایند، تنها باید به یک سئوال امنیتی جواب بدهند تا بتوانند رمز عبور اکانت را تغییر دهند. در هیچ کدام از سرویسهای یادشده درخواستی مبتنی بر فرستادن رمز عبور جدید به یک آدرس الکترونیکی ثانی عنوان نشد – هرچند که یکی از امکانات انتخابی در هر سه سرویس بود – و در عوض یک روند کاملاً آنلاین ارائه شد. آدام اودانل، مدیر تکنولوژیهای نوین در بخش فروش پیامهای امنیتی شرکت Cloudmark اظهار داشت که تغییر خودکار رمز عبور در سرویسهای پستی وابسته به وب، صرفنظر از اینکه آن سرویسها مانند Yahoo، Hotmail و Gmail رایگان بوده و یا به عنوان قسمتی از سرویس غیررایگان اشتراک دهنده ارائه شوند، مشمول این قانون میشوند. اودانل طی مصاحبهای گفت: ارائه دهندگان خدمات اینترنیتی موقعیت حساسی دارند زیرا تنها یکبار مراجعه به قسمت پشتیبانی برای تعویض رمز عبور میتواند سود یک ماههای را که از کاربر مورد نظر عاید شان میشود، از بین ببرد. در زمانیکه عدهای از کارشناسان امنیتی با دیده شک به ادعاهای هکری که میگفت از طریق تعویض رمز عبور به اکانت پیلین دسترسی پیدا کرده بود، نگاه میکردند، اودانل گفته بود که گفتههای فرد خاطی چندان دور از ذهن نیست. بنابه گفته های rubico که برخی معتقدند ممکن است پسر ۲۰ سالهای از ایالت تنسی باشد، جستجوی آنلاین برای تعویض رمز عبور پیلین تنها ۴۵ دقیقه طول کشید. منبع ()
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 533]