Jak uniemożliwić ludziom przeglądanie zapisanych haseł w przeglądarce
Czy kiedykolwiek zapisałeś hasło w przeglądarce - Chrome, Firefox, Internet Explorer lub inny? Wtedy Twoje hasła będą prawdopodobnie widoczne dla każdego, kto ma dostęp do Twojego komputera, gdy jesteś zalogowany.
Programiści Chrome i Firefoksa uważają, że to jest w porządku, ponieważ powinno się zapobiegać dostępowi do komputera, ale dla wielu osób będzie to niespodzianka..
Jak każdy, kto ma dostęp do komputera, może przeglądać twoje hasła
Zakładając, że zostawisz swój komputer zalogowany, a ktoś inny go używa, może otworzyć stronę ustawień Chrome, przejść do sekcji Hasła i łatwo wyświetlić każde zapisane hasło.
Możesz podłączyć chrome: // settings / passwords do paska adresu Chrome, aby uzyskać łatwy dostęp do tej strony. Kliknij pole hasła i kliknij przycisk Pokaż - zobaczysz hasła zapisane w Chrome bez dodatkowych podpowiedzi.
Przy domyślnych ustawieniach Firefoksa możesz otworzyć jego okno Opcje, wybrać panel Bezpieczeństwo i kliknąć przycisk Zapisane hasła. Wybierz Pokaż hasła i zobaczysz listę wszystkich haseł zapisanych w Firefoksie na twoim komputerze.
Firefox umożliwia ustawienie "hasła głównego", które należy wprowadzić przed wyświetleniem lub użyciem zapisanych haseł, ale jest to domyślnie wyłączone i Firefox nie monituje użytkowników o skonfigurowanie jednego hasła.
Program Internet Explorer nie zapewnia wbudowanego sposobu przeglądania zapisanych haseł. Jednak to pozorne bezpieczeństwo jest mylące. Dzięki narzędziu, takim jak bezpłatny IE PassView, możesz wyświetlić wszystkie zapisane hasła IE dla bieżącego konta użytkownika. Możesz także przeglądać hasła bez instalowania żadnego oprogramowania - po prostu odwiedź stronę internetową, na której hasło jest automatycznie wypełniane i użyj czegoś takiego jak bookmarklet Reveal Passwords, aby odsłonić hasło, które zostało automatycznie wprowadzone.
Co tu się dzieje? Jest to luka w zabezpieczeniach?
Od pewnego czasu wśród geeków toczy się debata, czy rzeczywiście jest to luka w zabezpieczeniach. Czy twórcy Chrome'a (i twórcy innych przeglądarek, takich jak Internet Explorer, a nawet Firefox z domyślnymi ustawieniami), powinni zmienić to zachowanie? Czy użytkownicy zostali zdradzeni przez programistów, biorąc pod uwagę, że przeglądarki nie ostrzegają użytkowników o tym zachowaniu?
Z jednej strony istnieją dobre argumenty za obecnym zachowaniem.
- Chrome i Internet Explorer zabezpieczają zapisane hasła za pomocą hasła do konta użytkownika Windows. Jeśli nie jesteś zalogowany, twoje hasła są niedostępne. Jeśli atakujący zmieni hasło do konta systemu Windows, twoje hasła staną się niedostępne. Zakładając, że używasz silnego hasła do systemu Windows i blokujesz komputer, gdy go nie używasz, teoretycznie jesteś bezpieczny.
- Jeśli atakujący ma fizyczny dostęp do twojego komputera lub złośliwy program działa w tle, może zarejestrować twoje uderzenia klawiszy i uzyskać "główne hasło" używane do zabezpieczenia twoich haseł w Firefoksie lub dedykowany menedżer haseł, taki jak LastPass. Główne hasło w Chrome zapewniłoby fałszywe poczucie bezpieczeństwa.
- Hasło główne to dodatkowa metoda zabezpieczeń, która może powodować niedogodności dla przeciętnych użytkowników, którzy mimo wszystko zdecydowaliby się ją wyłączyć. Użytkownicy nie będą chcieli wprowadzać hasła głównego przed użyciem zapisanych haseł.
- Jeśli Twoja przeglądarka była już zalogowana na konto w witrynie internetowej, osoba atakująca może uzyskać dostęp do Twojego konta w tej witrynie, jeśli ma dostęp do przeglądarki.
Z drugiej strony użytkownicy nie przestrzegają doskonałych praktyk bezpieczeństwa w świecie rzeczywistym:
- Wiele osób współużytkuje konta użytkowników Windows, ustawia ich komputery tak, aby automatycznie logowały się lub pozwalały gościom korzystać z komputerów bez patrzenia przez ramię przez cały czas. Dzięki temu dostęp do zapisanych haseł jest banalny. Każdy, kto choćby zdalnie ciekawy, może rzucić okiem na hasła.
- Hasło główne pozwoliłoby użytkownikom dalej zabezpieczyć bazę danych haseł, umożliwiając zapisywanie haseł bez martwienia się o gości korzystających z ich komputera i ulegając pokusie, aby na nie spojrzeć.
- Wiele haseł do kont użytkowników systemu Windows jest bardzo słabych, więc hasła będą mało chronione. Wiele osób również nie blokuje swoich komputerów za każdym razem, gdy odejdą.
- Chrome udostępnia wiele profili użytkowników, zachęcając użytkowników do udostępniania profili Chrome na jednym koncie użytkownika, ale nie zapewnia metod izolowania tych profili i uniemożliwia innym użytkownikom profili innych użytkowników dostęp do innych haseł do kont.
- Jeśli atakujący uzyska dostęp do już zalogowanej witryny, ale nie ma Twojego hasła, nie będzie w stanie zmienić hasła ani usunąć konta.
- Przeciętni użytkownicy prawdopodobnie oczekują, że ich hasła będą trudniejsze do wyświetlenia. Nie ma żadnego ostrzeżenia informującego, że każdy, kto ma dostęp do ich komputerów, może przeglądać zapisane hasła lub że powinien ustawić silne hasło do systemu Windows i zablokować swoje komputery, gdy odsunie się od nich.
Więc która strona ma rację? Cóż, Chrome zabezpieczy Twoje hasło, jeśli zastosujesz idealne procedury bezpieczeństwa. Powiedział, że Chrome (oraz IE i Firefox w domyślnej konfiguracji) również nie dostarcza wystarczających informacji dla użytkowników o tym, co robi. W prawdziwym świecie hasło główne może być przydatne dla wielu osób.
Jak chronić zapisane hasła
Jeśli martwisz się o zapisane hasła, oto kilka wskazówek, których możesz użyć, aby zabezpieczyć je przed ciekawskimi oczami:
- Użyj dedykowanego menedżera haseł, takiego jak LastPass. Te menedżery haseł działają z każdą przeglądarką i zapewniają główne hasło, które blokuje dostęp do haseł po wylogowaniu. Programiści Chrome mogą nie chcieć udostępniać funkcji głównego hasła, ale możesz dodać ją sam, używając LastPass zamiast domyślnego menedżera haseł Chrome. Jest to wszechstronna opcja, podobnie jak inne menedżery haseł, takie jak KeePass.
- Jeśli używasz przeglądarki Firefox, włącz funkcję głównego hasła. Jest to domyślnie wyłączone, ponieważ programiści Firefoksa nie lubią doświadczenia użytkownika, ale hasło główne pozwala na "zablokowanie" bazy danych haseł za pomocą jednego głównego hasła. Następnie możesz udostępnić swoje konto użytkownika innym osobom, a oni nie będą mogli przeglądać twoich haseł. Oczywiście, mogliby zainstalować kluczowy program rejestrujący, gdy nie patrzysz, ale wiele osób, które mogą mieć ochotę zaglądać do twoich haseł, nie chciałoby pójść na całość z kluczowym rejestratorem. Dlatego zamykamy nasze drzwi - zamki nie są doskonałe, ale uczciwie trzymają uczciwych ludzi.
- Jeśli używasz Chrome lub Internet Explorera i chcesz nadal korzystać z wbudowanego menedżera haseł, upewnij się, że korzystasz z dobrych praktyk bezpieczeństwa. Ustaw silne hasło do konta użytkownika systemu Windows i zablokuj komputer za każdym razem, gdy od niego odejdziesz. Ktoś, kto ma dostęp do komputera podczas logowania, może szybko rzucić okiem na swoje hasła - zwłaszcza w Chrome.
Chcesz uzyskać bardziej szczegółowe informacje na temat bezpieczeństwa zapisanych haseł w używanej przeglądarce? Zapoznaj się z naszą szczegółową analizą zabezpieczeń haseł Chrome i zabezpieczeń haseł programu Internet Explorer.