Разработчиците на Chrome и Firefox смятат, че това е добре, тъй като първо трябва да предотвратите достъпа на хората до компютъра ви, но това вероятно ще бъде изненада за много хора.
Как всеки, който има достъп до компютъра ви, може да ви види паролите
Ако приемем, че оставите компютъра си в профила си и някой друг го използва, той може да отвори страницата за настройки на Chrome, да отиде в секцията "Пароли" и лесно да преглежда всяка запазена парола.
Можете да включите chrome: // settings / passwords в адресната лента на Chrome за лесен достъп до тази страница. Кликнете върху полето за парола и кликнете върху бутона Покажи - можете да видите паролата, запазена в Chrome, без допълнителни указания.
Firefox ви позволява да зададете "главна парола", която трябва да бъде въведена, преди да можете да преглеждате или използвате запазените пароли, но това е деактивирано по подразбиране и Firefox не подканва потребителите да задават една.
Какво става тук? Това е уязвимост за сигурността?
Имаше дебат между джендъците, дали това наистина е уязвимост на сигурността. Трябва ли разработчиците на Chrome (и разработчиците на други браузъри, като Internet Explorer и дори Firefox с настройките по подразбиране) да променят това поведение? Потребителите са ли били предадени от програмисти, като се има предвид, че браузърите не предупреждават потребителите за това поведение?
От една страна, има някои добри аргументи за настоящото поведение.
- Chrome и Internet Explorer защитават вашите запазени пароли с паролата за потребителски акаунти в Windows. Ако не сте влезли в профила си, паролите ви са недостъпни. Ако атакуващият ви промени паролата за профила ви в Windows, паролите ви стават недостъпни. Ако приемем, че използвате силна парола за Windows и заключвате компютъра си, когато не го използвате, вие сте теоретично сигурни.
- Ако нападателят има физически достъп до компютъра ви или злонамерената програма се изпълнява във фонов режим, той може да регистрира ключовите ви удари и да получи всяка "основна парола", използвана за защита на вашите пароли във Firefox или специален администратор на пароли като LastPass. Основната парола в Chrome ще предостави фалшиво чувство за сигурност.
- Основната парола е допълнителен метод за сигурност, който би означавал средни потребители на неудобства, които биха предпочели да го деактивират. Потребителите не биха искали да трябва да въвеждат главна парола, преди да използват запазените си пароли.
- Ако браузърът ви вече е влязъл в профил в уебсайт, нападателят може да получи достъп до профила ви на този уебсайт, ако има достъп до браузъра ви.
От друга страна, потребителите не следват перфектни практики за сигурност в реалния свят:
- Много хора споделят потребителски акаунти на Windows, настройват компютрите си да влизат автоматично или позволяват на гостите да използват компютрите си, без да търсят през рамото си през цялото време. Това прави тривиалния достъп до запазените пароли. Всеки, дори отдалеч любопитен, можеше да погледне паролите.
- Главната парола би позволила на потребителите допълнително да защитят базата данни с пароли, като им позволяват да запазват паролите, без да се притесняват за това, че гостите използват компютъра си и са изкушени да ги погледнат.
- Много пароли за потребителски акаунти в Windows са изключително слаби, затова паролите нямат достатъчна защита. Много хора също не заключват компютрите си всеки път, когато се отдалечават.
- Chrome осигурява множество потребителски профили, насърчавайки потребителите да споделят потребителски профили на Chrome в един потребителски акаунт, но не предлага никакъв начин за изолиране на тези профили и предотвратяване на достъпа на други профили на потребители на Chrome до други пароли за профили
- Ако нападателят получи достъп до уебсайт, който вече е влязъл в профила си, но няма парола, той няма да може да промени паролата ви или да изтрие профила ви.
- Средните потребители вероятно очакват, че паролите им са по-трудни за гледане. Няма предупреждение, което да ги информира, че всеки, който има достъп до компютрите си, може да види запазените си пароли или да настрои силна парола за Windows и да заключи компютрите си, когато се отдалечат от тях.
Така че коя страна е права? Е, Chrome пази паролата ви, ако следвате идеалните процедури за сигурност. Това означава, че Chrome (и IE и Firefox в конфигурацията по подразбиране) също не предоставят достатъчно информация на потребителите за това, което прави. В реалния свят главната парола би могла да бъде полезна за много хора.
Как да защитите запазените си пароли
Ако се притеснявате за запазените си пароли, ето няколко съвета, които можете да използвате, за да ги защитите от любопитни очи:
Използвайте специален мениджър на пароли, като LastPass. Тези администратори на пароли работят с всеки браузър и предоставят главна парола, която блокира достъпа до паролите ви, когато сте излезли. Разработчиците на Chrome може да не искат да ви дадат основната функция за парола, но можете да го добавите сами, като използвате LastPass на мястото на мениджъра на паролите по подразбиране на Chrome. Това е все по-мощен вариант, както и други мениджъри на пароли като KeePass.
Ако използвате Firefox, активирайте функцията за основна парола. Това е изключено по подразбиране, тъй като разработчиците на Firefox не харесват опита на потребителя, но главната парола ви позволява да "заключвате" базата данни с една основна парола. След това можете да споделите потребителския си профил с други хора и те няма да могат да гледат вашите пароли. Разбира се, те могат да инсталират ключов дървар, докато не търсите, но много хора, които биха могли да се изкушат да погледат паролите ви, няма да искат да вървят по целия път с ключов дървар. Ето защо заключваме вратите си - ключалките не са перфектни, но държат честните хора честни.
Ако използвате Chrome или Internet Explorer и искате да продължите да използвате вградения мениджър на пароли, уверете се, че упражнявате добри практики за сигурност. Задайте силна парола за потребителския акаунт в Windows и заключете компютъра си винаги, когато се отдалечавате от него. Някой с достъп до компютъра Ви, докато е влязъл в него, може бързо да погледне паролите ви - особено в Chrome.
Искате по-задълбочена информация за сигурността на запазените ви пароли в браузъра, който използвате? Разгледайте нашите задълбочени изследвания на сигурността на паролите на Chrome и защитата на паролата на Internet Explorer.
