Search Icon
Elektroniknet Logo
Search Icon
powered by Fortec AG
Startseite > اللغة العربية > يكتشفون ثغرات أمنية خطيرة في برامج إدارة كلمات المرور

باحثون من ETH Zürich

يكتشفون ثغرات أمنية خطيرة في برامج إدارة كلمات المرور

24 فبراير 2026، الساعة 9:00 صباحًا | نيكول وورنر
© sasun Bughdaryan / Adobestock

كشف باحثون في المعهد الفيدرالي للتكنولوجيا بزيورخ عن ثغرات أمنية جسيمة في ثلاثة برامج شهيرة لإدارة كلمات المرور تعتمد على الحوسبة السحابية. ونجح الفريق في تجاربهم من الاطلاع على كلمات المرور المخزنة بل وتعديلها.

وهم "التشفير الصفري" (Zero Knowledge)

يعتمد ملايين المستخدمين على هذه البرامج لإدارة بيانات دخولهم، وغالباً ما تروج الشركات المزودة لهذه الخدمات لمبدأ "تشفير المعرفة الصفرية"؛ وهو وعد تقني مفاده أن البيانات تُشفر على جهاز المستخدم قبل إرسالها، بحيث لا يمكن للمزود نفسه (حتى لو اختُرق خادمه) قراءتها.

قالت الباحثة ماتيلدا باكيندال:

"إن الاختبارات أثبتت خلاف ذلك، إذ أظهرت النتائج أن الوصول إلى الخادم يمكن أن يشكل خطراً فعلياً رغم وجود التشفير. وقد أُجريت الدراسة بالتعاون مع Matteo Scarlata وKenneth Paterson وGiovanni Torrisi ضمن مجموعة التشفير التطبيقي في معهد أمن المعلومات."

سيناريو الهجوم: خادم مُخترق

حلّل الفريق البنية الأمنية لثلاث خدمات رئيسية هي Bitwarden وLastPass وDashlane، والتي يستخدمها نحو 60 مليون شخص حول العالم وتمتلك مجتمعة حصة سوقية تبلغ نحو 23٪.

ولمحاكاة هجوم واقعي، أنشأ الباحثون خوادمهم الخاصة لتقليد سلوك خادم مخترق، فيما يُعرف بنموذج الخادم الخبيث. وفي هذا السيناريو يتصرف الخادم بشكل متعمد خارج السلوك المتوقع أثناء تواصله مع تطبيقات المستخدم مثل المتصفح.

أسفرت التجارب عن:

  • 12 سيناريو هجوم ناجح على Bitwarden
  • 7 على LastPass
  • 6 على Dashlane

وتراوحت النتائج بين انتهاك سلامة خزنة كلمات مرور واحدة وصولاً إلى اختراق كامل لجميع خزائن مؤسسة كاملة. وفي معظم الحالات تمكن الباحثون من الوصول إلى كلمات المرور وتعديلها باستخدام إجراءات اعتيادية مثل تسجيل الدخول أو مزامنة البيانات.

لماذا تظهر هذه الثغرات؟

يرجع الباحثون جزءاً كبيراً من الثغرات إلى التعقيد المتزايد في بنية البرمجيات. فميزات مثل استعادة كلمات المرور أو مشاركة الحسابات العائلية تزيد من تعقيد الشيفرة، ما يوسّع سطح الهجوم ويخلق نقاط ضعف إضافية.

وأوضح سكّارلاتا أن تنفيذ مثل هذه الهجمات لا يتطلب قدرات حوسبة عالية، بل يمكن تنفيذه عبر أدوات بسيطة قادرة على خداع الخادم بهوية مزيفة.

قبل نشر النتائج، أبلغ الفريق الشركات المعنية ومنحها مهلة 90 يوماً لمعالجة المشكلات. وبحسب باترسون، أبدت الشركات تعاوناً ملحوظاً، إلا أن سرعة الاستجابة اختلفت من مزود إلى آخر.

توصيات لتعزيز الأمان

أشار الباحثون إلى أن بعض الخدمات ما تزال تعتمد تقنيات تشفير تعود إلى تسعينيات القرن الماضي، واقترحوا تحديث البنى التشفيرية للأنظمة الجديدة أولاً، ثم إتاحة خيار الترقية للمستخدمين الحاليين.

كما نصحوا المستخدمين باختيار الخدمات التي توفر:

  • شفافية واضحة في آليات الأمان
  • تدقيقات أمنية خارجية مستقلة
  • تشفيراً طرفياً مفعلاً افتراضياً

وأكد باترسون أن على الشركات تجنب تقديم وعود أمنية مطلقة، وأن تكون أكثر دقة ووضوحاً بشأن مستوى الحماية الفعلي الذي توفره.