Як запобігти перегляду збереженими паролями користувачів
Ви коли-небудь зберігали пароль у своєму веб-переглядачі - Chrome, Firefox, Internet Explorer або інший? Тоді ваші паролі, ймовірно, доступні для всіх, хто має доступ до вашого комп'ютера під час входу в систему.
Розробники Chrome і Firefox вважають, що це нормально, тому що ви повинні запобігати доступу людей до вашого комп'ютера, але це, швидше за все, стане несподіванкою для багатьох людей.
Як хто-небудь з доступом до комп'ютера може переглядати ваші паролі
Якщо ви залишите свій комп'ютер, і хтось інший користується ним, вони можуть відкрити сторінку налаштувань Chrome, перейти до розділу "Паролі" та легко переглянути кожен збережений пароль, який ви зберегли..
Ви можете підключити chrome: // settings / password до адресного рядка Chrome для легкого доступу до цієї сторінки. Клацніть поле пароля та натисніть кнопку Показати - ви можете бачити будь-який пароль, збережений у Chrome, без додаткових підказок.
За допомогою налаштувань за промовчанням Firefox можна відкрити вікно «Параметри», виберіть панель «Безпека» і натисніть кнопку Збережені паролі. Виберіть "Показати паролі", і на комп'ютері відобразиться список усіх паролів, збережених у Firefox.
Firefox дозволяє встановити "головний пароль", який необхідно ввести, перш ніж ви зможете переглядати або використовувати збережені паролі, але це за замовчуванням вимкнено, і Firefox не спонукає користувачів встановлювати один.
Internet Explorer не містить вбудованого способу перегляду збережених паролів. Однак ця очевидна безпека є оманливою. За допомогою утиліти, подібної до безкоштовного IE PassView, ви можете переглядати всі збережені IE паролі для поточного облікового запису користувача. Ви також можете переглядати паролі без встановлення будь-якого програмного забезпечення - просто відвідайте веб-сайт, на якому пароль автоматично заповнюється, і використовуйте щось подібне до букмарклета Reveal Passwords, щоб розкрити пароль, який автоматично вводиться.
Що тут відбувається? Це вразливість безпеки?
Існує дискусія, що бушує серед вундеркіндів щодо того, чи це дійсно вразливість безпеки. Чи повинні розробники Chrome (і розробники інших веб-переглядачів, наприклад Internet Explorer і навіть Firefox з настройками за умовчанням) змінити цю поведінку? Користувачі були видані розробниками, враховуючи, що веб-переглядачі не попереджають користувачів про цю поведінку?
З одного боку, є хороші аргументи для поточної поведінки.
- Chrome і Internet Explorer захищають збережені паролі паролем облікового запису користувача Windows. Якщо ви не ввійшли в систему, ваші паролі недоступні. Якщо зловмисник змінює пароль облікового запису Windows, ваші паролі стають недоступними. Якщо ви використовуєте надійний пароль Windows і заблокуєте комп'ютер, коли ви його не використовуєте, ви теоретично безпечні.
- Якщо зловмисник має фізичний доступ до вашого комп'ютера або зловмисна програма працює у фоновому режимі, вона може реєструвати штрихи ключів і отримувати будь-який "головний пароль", який використовується для захисту ваших паролів у Firefox або спеціальний менеджер паролів, як LastPass. Головний пароль у Chrome забезпечить помилкове почуття безпеки.
- Головний пароль - це додатковий метод захисту, який би незручно середнім користувачам, які хотіли б його вимкнути. Користувачі не хочуть вводити головний пароль, перш ніж використовувати збережені паролі.
- Якщо ваш веб-переглядач вже ввійшов до облікового запису на веб-сайті, зловмисник може отримати доступ до вашого облікового запису на цьому веб-сайті, якщо вони мають доступ до вашого веб-переглядача..
З іншого боку, користувачі не дотримуються досконалих практик безпеки в реальному світі:
- Багато користувачів обмінюються обліковими записами користувачів Windows, встановлюють свої комп'ютери для автоматичного входу в систему або дозволяють гостям користуватися комп'ютерами, не переглядаючи плечі весь час. Це робить доступ до збережених паролів тривіальним. Будь-який, навіть віддалено цікавий, може поглянути на паролі.
- Головний пароль дозволить користувачам додатково захистити свою базу даних паролів, дозволяючи їм зберігати паролі, не турбуючись про гостей, які використовують їхні комп'ютери, і намагаючись поглянути на них.
- Багато паролів облікових записів Windows надзвичайно слабкі, тому паролі мають мало захисту. Багато людей також не блокують свої комп'ютери кожен раз, коли вони відходять.
- Chrome надає декілька профілів користувачів, заохочуючи користувачів обмінюватися профілями Chrome на одному обліковому записі користувача, але не надає жодного методу ізоляції цих профілів і забороняє доступ інших профілів користувачів Chrome до інших паролів облікових записів
- Якщо зловмисник отримав доступ до вже зареєстрованого веб-сайту, але не мав пароля, вони не зможуть змінити пароль або видалити обліковий запис.
- Середні користувачі, ймовірно, очікують, що їхні паролі важче переглядати. Немає жодного попередження про те, що кожен, хто має доступ до їхніх комп'ютерів, може переглядати свої збережені паролі, або що вони повинні встановити сильний пароль Windows і заблокувати свої комп'ютери, коли вони відходять від них.
Отже, яка сторона права? Що ж, Chrome захищає ваш пароль, якщо ви дотримуєтеся ідеальних процедур безпеки. Однак Chrome (і IE та Firefox у налаштуваннях за умовчанням) також не надають користувачам достатньо інформації про те, що він робить. У реальному світі головний пароль може бути корисним для багатьох людей.
Як захистити збережені паролі
Якщо ви турбуєтеся про збережені паролі, ось деякі поради, які ви можете використовувати для захисту їх від сторонніх очей:
- Використовуйте спеціальний менеджер паролів, як LastPass. Ці менеджери паролів працюють з кожним веб-переглядачем і надають головний пароль, який блокує доступ до ваших паролів під час виходу з системи. Розробники Chrome можуть не захотіти надати вам головний пароль, але ви можете додати його самостійно, використовуючи LastPass замість менеджера паролів за замовчуванням Chrome. Це все більш потужний варіант, як і інші менеджери паролів, як KeePass.
- Якщо ви використовуєте Firefox, увімкніть функцію головного пароля. За замовчуванням це вимкнено, оскільки розробникам Firefox не подобається користувальницький досвід, але головний пароль дозволяє "заблокувати" базу даних паролів за допомогою одного головного пароля. Потім ви можете поділитися своїм обліковим записом користувача з іншими людьми, і вони не зможуть переглядати ваші паролі. Звичайно, вони могли б встановити ключовий реєстратор, поки ви не шукаєте, але багато людей, які можуть піддатися спокусі зазирнути на ваші паролі, не захочуть пройти весь шлях з ключем. Ось чому ми замикаємо двері - замки не досконалі, але чесні люди тримаються чесними.
- Якщо ви використовуєте Chrome або Internet Explorer і хочете продовжувати використовувати вбудований менеджер паролів, переконайтеся, що ви використовуєте хорошу безпеку. Встановіть надійний пароль облікового запису користувача Windows і заблокуйте комп'ютер, коли ви відходите від нього. Хтось з доступом до вашого комп'ютера під час входу в систему, може швидко побачити ваші паролі - особливо в Chrome.
Хочете отримати більш детальну інформацію про те, наскільки захищені ваші паролі захищені в браузері? Ознайомтеся з нашим глибинним поглядом на захист паролів Chrome і захист пароля Internet Explorer.