अपने सभी ऑनलाइन खातों में अपने सभी पासवर्ड याद रखना चुनौतीपूर्ण है और यही कारण है कि लास्टपास, डैशलेन और 1 पासवर्ड जैसे पासवर्ड मैनेजर मौजूद हैं। लेकिन उपयोगकर्ता नाम और पासवर्ड के ये विशाल एन्क्रिप्टेड डेटाबेस अपराधियों के लिए प्रमुख लक्ष्य हैं और कई कार्यक्रमों को उल्लंघनों का सामना करना पड़ा है।
इस सप्ताह, निःशुल्क पासवर्ड प्रबंधक कीपास अपनी साइट पर घोषणा की कि एक भेद्यता मौजूद है इसके सॉफ़्टवेयर में और हैकर्स नए KeePass सॉफ़्टवेयर के रूप में उपयोगकर्ताओं को मैलवेयर युक्त नकली सॉफ़्टवेयर अपडेट भेज सकते हैं। KeePass सुरक्षित संस्करण HTTPS के बजाय अनएन्क्रिप्टेड हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTP) का उपयोग करता है। (यदि आप नहीं जानते कि HTTP और HTTPS क्या हैं, तो इस पृष्ठ के URL पर एक नज़र डालें। HTTPS वह प्रोटोकॉल है जो इंटरनेट ब्राउज़र और वेबसाइटों के बीच भेजे गए डेटा को होस्ट करता है। HTTPS सुरक्षित है और बनाने के लिए प्रत्येक वेबसाइट और सर्वर को प्रमाणित करता है। सुनिश्चित करें कि कोई दुर्भावनापूर्ण साइट वैध साइट के रूप में प्रस्तुत नहीं हो रही है।)
सुरक्षा शोधकर्ता फ्लोरियन बोगनेर लाइफहैकर को बताता है क्योंकि KeePass सॉफ़्टवेयर अपडेट के लिए HTTP का उपयोग करता है, बदमाश दुर्भावनापूर्ण सॉफ़्टवेयर के साथ नकली अपडेट बना सकते हैं।
KeePass अपनी साइट पर बताता है:
संस्करण जानकारी फ़ाइल KeePass वेबसाइट से HTTP पर डाउनलोड की जाती है। इस प्रकार बीच में एक व्यक्ति (कोई व्यक्ति जो KeePass वेबसाइट से आपके कनेक्शन को इंटरसेप्ट कर सकता है) एक गलत संस्करण सूचना फ़ाइल लौटा सकता है, संभवतः KeePass को एक सूचना प्रदर्शित करता है कि एक नया KeePass संस्करण उपलब्ध है।
KeePass सिर्फ इसलिए कहता है क्योंकि एक हैकर आपको मैलवेयर के साथ एक नकली अपडेट भेजता है इसका मतलब यह नहीं है कि हमला गति में है क्योंकि KeePass स्वचालित अपडेट होस्ट नहीं करता है। KeePass उपयोगकर्ताओं को मैन्युअल रूप से एक नया संस्करण डाउनलोड करना होगा। कीपास का कहना है कि उपयोगकर्ताओं को डिजिटल हस्ताक्षर की जांच करनी चाहिए और यदि मैलवेयर मौजूद है, तो इसे डाउनलोड न करें।
डिजिटल हस्ताक्षर की जांच करने के तरीके के बारे में अधिक जानकारी के लिए, नीचे बोगनर का वीडियो देखें:
