مراقب باشید، افزونه‌های مدیریت گذرواژه‌ ممکن است اطلاعات را به سرقت ببرند

به‌طور مثال اگر از گذرواژه‌های ساده‌ای استفاده کنید هکرها به راحتی می‌توانند آن‌را شناسایی کرده و به حساب شما وارد شوند. از طرفی اگر از گذرواژه‌های پیچیده استفاده کنید به خاطرآوری آن‌ها کاری سخت خواهد بود. در سناریو بدتر اگر گذرواژه خود را فراموش کنید و همچنین از راهکا‌های یادآوری گذرواژه‌ها نیز استفاده نکرده باشید در این حالت باید با حساب کاربری خود برای همیشه خداحافظی کنید. درست در همین زمان است که نرم‌افزارهای ویژه‌ای موسوم به نرم‌افزارهای مدیریت گذرواژه به یاری کاربران می‌آیند. این نرم‌افزارها ضمن آن‌که قادر هستند گذرواژه‌های پیچیده‌ای را به کاربران پیشنهاد کنند در عین حال فرآیند مدیریت بر گذرواژه‌ها را نیز بر عهده می‌گیرند. در این حالت کاربران تنها باید یک گذرواژه اصلی (master) را به یاد داشته باشند و در مقابل این نرم‌افزارها خواهد بود که بر فرآیند نظارت و ارائه گذرواژه‌ها مدیریت خواهند کرد. تا این بخش از کار همه چیز خوب و ایده‌آل است، به ویژه آن‌که برای اکثر مرورگرهای مدرن امروزی یک ابزار مدیریت گذرواژه در قالب افزونه یا پلاگین عرضه شده است. افزونه‌هایی همچون LastPass و 1Password از جمله این موارد هستند که هم به صورت نرم‌افزار و هم به صورت افزونه ویژه مرورگرهای کروم و فایرفاکس در اختیار کاربران قرار دارند. افزونه‌هایی که به کاربران اجازه می‌دهند اطلاعات مربوط به لاگین به سایت‌ها را در آن‌ها ذخیره‌سازی کنند. پس از انجام اینکار کاربران در هر بار ورود به سایت‌ها دیگر نیازی نخواهند داشت تا نام کاربری و گذرواژه موردنظر خود را به‌طور دستی وارد کنند. اما پژوهشی که از سوی مرکز سیاست‌گذاری فناوری اطلاعات پریسنتون انجام شده خبر نگران‌کننده‌ای را منتشر کرده است. در این گزارش آماده است که یکسری اسکریپت‌های به‌کار گرفته شده از سوی نرم‌افزارهای مدیریت گذرواژه ویژه مرورگرهای وب، این توانایی را دارند تا فعالیت‌های کاربران را زیرنظر قرار داده و اطلاعات درون سایت‌هایی که موردبازدید قرار داده‌اند را به شکل هدفمندی استخراج و جمع‌آوری کنند. پژوهشگران این موسسه تحقیقاتی دو اسکریپت AdThink و OnAudeince را در این زمینه مورد بررسی قرار داده‌اند. این دو اسکریپت به منظور به دست آوردن اطلاعات ورود به سایت‌ها از سوی نرم‌افزارهای مدیریت گذرواژه مبتنی بر مرورگر وب به کار گرفته می‌شوند.

ردیابی کاربران در سایت‌های مختلف

نتایج به دست آمده از این پژوهش نشان می‌دهد که دو اسکریپت یاد شده از رویکرد تزریق یک فرم ورود نامریی در پس‌زمینه سایت‌هایی که قابلیت پر کردن خودکار فیلدها در آن‌ها تعبیه شده به منظور جمع‌آوری شناسه‌ اختصاصی مربوط به کاربران در جهت ردیابی کاربران از یک سایت به سایت دیگر بهره می‌برند. اطلاعاتی که به این شکل جمع‌آوری می‌شود در ادامه در اختیار شرکت‌های ارائه‌دهنده تبلیغات قرار می‌گیرد. به همین دلیل است که بسیاری از کاربران در مراجعه به سایت‌های مختلف مشاهده می‌کنند که همواره تبلیغات یکسانی به آن‌ها نشان داده می‌شود. در حالی که تمرکز این پلاگین بیشتر روی نام کاربری است، اما پژوهش انجام شده از سوی این موسسه نشان می‌دهد هیچ مکانیزمی وجود ندارد تا مانع از این شود که اسکریپت‌های یاد شده شناسه مربوط به نام کاربری را ردیابی نکنند. بهترین راهکاری که مانع از ردیابی فعالیت‌های کاربران می‌شود در این است که برنامه‌های مدیریت گذرواژه شیوه عملکرد خود را تغییر داده و یک مرحله مربوط به تایید اطلاعات وارد شده در فیلدها را به مکانیزم کاری خود اضافه کنند. در همین ارتباط، استاد علوم کامپیوتر پرینستون گفته است: «این مشکل را به راحتی نمی‌توان برطرف کرد، اما ارزش آن‌را دارد که روی آن کار شود.» اما مشکل تنها آن نیست که اسکریپت‌های به‌کارگرفته شده از سوی برنامه‌های مدیریت گذرواژه‌ها فعالیت‌های کاربران را ردیابی می‌کنند، بلکه مشکل این است که اسکریپت‌هایی همچون AdThink این اطلاعات را جمع‌آوری کرده و در ادامه برای موسساتی نظیر Axciom ارسال می‌کنند. موسسه یاد شده این اطلاعات را جمع‌آوری و طبقه‌بندی کرده و بر مبنای موقعیت‌ جغرافیایی کاربران اطلاعات را برای شرکت‌هایی که در کشورهای مختلف قرار داشته و در زمینه تبلیغات به فعالیت اشتغال دارند ارسال می‌کنند. شرکت Audience Insights که سازنده اسکریپت یاد شده است به کاربران این توانایی را داده است تا شناسه منحصر به فرد خود را روی یک سامانه مشاهده کرده و اگر تمایل داشتند آن‌را حذف کنند، اما کاربردی بودن این روش هنوز اثبات نشده است. مرکز پریسنتون به مدیران سایت‌ها هشدار داده است که بدون شناخت دقیق سعی نکنند از اسکریپت‌هایی همچون AdThink استفاده کنند، به واسطه آن‌که اعتبار خود را در معرض خطر قرار خواهند داد. امروزه بسیاری از سایت‌ها بدون آگاهی به شرکت‌های ثالث اجازه می‌دهند اطلاعات کاربرانشان را به راحتی ردیابی کنند. رویکردی که در نهایت باعث می‌شود به اعتبار سایت خدشه وارد شود.