Ви коли-небудь зберігали пароль у своєму браузері - Chrome, Firefox, Internet Explorer або інший? Тоді ваші паролі, ймовірно, можуть переглядати всі, хто має доступ до вашого комп’ютера, поки ви ввійшли в систему.
Розробники Chrome і Firefox вважають, що це нормально, оскільки ви, насамперед, повинні заважати людям отримати доступ до вашого комп’ютера, але це, швидше за все, для багатьох людей стане несподіванкою.
Як кожен, хто має доступ до вашого комп’ютера, може переглядати ваші паролі
Припускаючи, що ви залишаєте свій комп’ютер увійденим, а хтось інший ним користується, він може відкрити сторінку налаштувань Chrome, перейти до розділу Паролі та легко переглянути кожен збережений вами пароль.
Можна підключити chrome: // налаштування / паролі в адресному рядку Chrome для зручного доступу до цієї сторінки. Клацніть поле пароля та натисніть кнопку Показати - ви зможете побачити будь-який пароль, збережений у Chrome, без додаткових запитів.
За допомогою налаштувань Firefox за замовчуванням ви можете відкрити його вікно Параметри, вибрати панель безпеки та натиснути кнопку Збережені паролі. Виберіть Показати паролі, і ви побачите список усіх паролів, збережених у Firefox на вашому комп'ютері.
Firefox дозволяє встановити "головний пароль", який потрібно ввести перед тим, як ви зможете переглядати або використовувати збережені паролі, але це за замовчуванням вимкнено, і Firefox не пропонує користувачам встановлювати його.
Internet Explorer не надає вбудованого способу перегляду збережених паролів. Однак ця очевидна безпека вводить в оману. З такою утилітою, як безкоштовна IE PassView , ви можете переглянути всі збережені паролі IE для поточного облікового запису користувача. Ви також можете переглядати паролі, не встановлюючи жодного програмного забезпечення - просто відвідайте веб-сайт, де пароль автоматично заповнюється, і скористайтеся чимось на зразок Розкрийте закладку паролів щоб відкрити пароль, який було введено автоматично.
Що тут відбувається? Це вразливість системи безпеки?
Серед вундеркіндів триває дискусія щодо того, чи справді це вразливість безпеки. Чи повинні розробники Chrome (і розробники інших браузерів, таких як Internet Explorer і навіть Firefox із налаштуваннями за замовчуванням) змінити цю поведінку? Чи зраджували користувачів розробники, враховуючи те, що браузери не попереджають користувачів про таку поведінку?
З одного боку, є кілька вагомих аргументів для поточної поведінки.
- Chrome і Internet Explorer захищають збережені паролі за допомогою пароля облікового запису користувача Windows. Якщо ви не ввійшли в систему, ваші паролі недоступні. Якщо зловмисник змінює пароль вашого облікового запису Windows, ваші паролі стають недоступними. Якщо припустити, що ви використовуєте надійний пароль Windows і блокуєте комп’ютер, коли не використовуєте його, ви теоретично захищені.
- Якщо зловмисник має фізичний доступ до вашого комп’ютера або у фоновому режимі працює шкідлива програма, він може реєструвати натискання клавіш та отримувати будь-який «головний пароль», який використовується для захисту ваших паролів у Firefox або спеціальному диспетчері паролів, наприклад LastPass. Головний пароль у Chrome забезпечить помилкове відчуття безпеки.
- Головний пароль - це додатковий метод захисту, який може спричинити незручності для пересічних користувачів, які все одно відмовляться від нього. Користувачі не хочуть вводити головний пароль перед використанням збережених паролів.
- Якщо ваш браузер вже ввійшов в обліковий запис на веб-сайті, зловмисник може отримати доступ до вашого облікового запису на цьому веб-сайті, якщо він має доступ до вашого браузера.
З іншого боку, користувачі не дотримуються досконалих практик безпеки в реальному світі:
- Багато людей обмінюються обліковими записами користувачів Windows, налаштовують комп’ютери на автоматичний вхід або дозволяють гостям користуватися комп’ютерами, не дивлячись весь час на плечі. Це робить доступ до збережених паролів тривіальним. Будь-хто, навіть віддалено цікавий, міг поглянути на паролі.
- Головний пароль дозволить користувачам надалі захищати свою базу даних паролів, дозволяючи їм зберігати паролі, не турбуючись про те, що гості користуються своїм комп'ютером і не мають спокуси поглянути на них.
- Багато паролів облікових записів користувачів Windows надзвичайно слабкі, тому паролі матимуть слабкий захист. Багато людей також не блокують свої комп’ютери щоразу, коли відходять.
- Chrome надає кілька профілів користувачів, заохочуючи користувачів ділитися профілями Chrome в одному обліковому записі користувача, але не забезпечує жодного методу ізоляції цих профілів і запобігання доступу інших профілів користувачів Chrome до інших паролів облікових записів.
- Якщо зловмисник отримав доступ до веб-сайту, що вже ввійшов до системи, але не мав вашого пароля, він не зміг би змінити ваш пароль або видалити ваш обліковий запис.
- Пересічні користувачі, мабуть, очікують, що їх паролі важче переглядати. Немає жодного попередження про те, що кожен, хто має доступ до своїх комп’ютерів, може переглядати збережені паролі або що їм слід встановити надійний пароль Windows і заблокувати комп’ютери, коли вони відійдуть від них.
То яка сторона права? Ну, Chrome захищає ваш пароль, якщо ви дотримуєтесь ідеальних процедур безпеки. Тим не менш, Chrome (і IE та Firefox у конфігурації за замовчуванням) також не надає достатньо інформації користувачам про те, що він робить. У реальному світі головний пароль може бути корисним багатьом людям.
Як захистити збережені паролі
Якщо вас турбують збережені паролі, ось кілька порад, якими ви можете захистити їх від сторонніх очей:
- Використовуйте спеціальний менеджер паролів , люблю LastPass . Ці менеджери паролів працюють з кожним браузером і надають головний пароль, який блокує доступ до ваших паролів, коли ви виходите з системи. Розробники Chrome можуть не захотіти надавати вам функцію головного пароля, але ви можете додати її самостійно, використовуючи LastPass замість диспетчера паролів Chrome за замовчуванням. Це всебічний більш потужний варіант, як і інші менеджери паролів, такі як KeePass.
- Якщо ви використовуєте Firefox, увімкніть функцію головного пароля. За замовчуванням це вимкнено, оскільки розробникам Firefox не подобається користувацький досвід, але головний пароль дозволяє вам "заблокувати" базу даних паролів одним основним паролем. Потім ви можете поділитися своїм обліковим записом з іншими людьми, і вони не зможуть поглянути на ваші паролі. Звичайно, вони могли б встановити реєстратор ключів, поки ви не шукаєте, але багато людей, які можуть спокуситися зазирнути до ваших паролів, не захотіли б іти до кінця з реєстратором ключів. Ось чому ми замикаємо наші двері - замки не ідеальні, але вони роблять чесних людей чесними.
- Якщо ви використовуєте Chrome або Internet Explorer і хочете продовжувати використовувати вбудований менеджер паролів, переконайтесь, що ви застосовуєте належні методи безпеки. Встановіть надійний пароль облікового запису користувача Windows і заблокуйте комп’ютер, коли б ви не відходили від нього. Хтось, хто має доступ до вашого комп’ютера, коли він увійшов, може швидко переглянути ваші паролі - особливо в Chrome.
Хочете отримати більш глибоку інформацію про те, наскільки надійно зберігаються ваші збережені паролі у браузері, яким ви користуєтесь? Перегляньте наші поглиблені огляди Захист паролем Chrome і Захист паролем Internet Explorer .
