If-Koubou

Jak uniemożliwić ludziom przeglądanie zapisanych haseł w przeglądarce

Jak uniemożliwić ludziom przeglądanie zapisanych haseł w przeglądarce (Jak)

Czy kiedykolwiek zapisałeś hasło w przeglądarce - Chrome, Firefox, Internet Explorer lub inny? Wtedy Twoje hasła będą prawdopodobnie widoczne dla każdego, kto ma dostęp do twojego komputera, gdy jesteś zalogowany.

Programiści Chrome i Firefoksa uważają, że jest to w porządku, ponieważ powinno się zapobiegać uzyskiwaniu dostępu do komputera w pierwszej kolejności, ale dla wielu osób będzie to niespodzianka.

Jak każdy, kto ma dostęp do komputera, może przeglądać twoje hasła

Zakładając, że zostawisz swój komputer zalogowany, a ktoś inny go używa, może otworzyć stronę ustawień Chrome, przejść do sekcji Hasła i łatwo wyświetlić każde zapisane hasło.

Możesz podłączyć chrome: // settings / passwords do paska adresu Chrome, aby uzyskać łatwy dostęp do tej strony. Kliknij pole hasła i kliknij przycisk Pokaż - zobaczysz hasło zapisane w Chrome bez dodatkowych podpowiedzi.

Przy domyślnych ustawieniach Firefoksa możesz otworzyć jego okno Opcje, wybrać Panel zabezpieczeń i kliknąć przycisk Zapisane hasła. Wybierz Pokaż hasła i zobaczysz listę wszystkich haseł zapisanych w Firefoksie na twoim komputerze.

Firefox umożliwia ustawienie "hasła głównego", które należy wprowadzić przed wyświetleniem lub użyciem zapisanych haseł, ale jest to domyślnie wyłączone, a Firefox nie monituje użytkowników o ustawienie hasła.

Program Internet Explorer nie zapewnia wbudowanego sposobu przeglądania zapisanych haseł. Jednak to pozorne bezpieczeństwo jest mylące. Dzięki narzędziu, takim jak bezpłatny IE PassView, możesz wyświetlić wszystkie zapisane hasła IE dla bieżącego konta użytkownika. Możesz również przeglądać hasła bez instalowania żadnego oprogramowania - wystarczy odwiedzić stronę internetową, na której hasło jest automatycznie wypełniane i użyć czegoś w rodzaju skryptu bookletu Reveal Passwords, aby wyświetlić hasło, które zostało automatycznie wprowadzone.

Co tu się dzieje? Czy jest to luka w zabezpieczeniach?

Od pewnego czasu wśród geeków toczy się debata, czy jest to rzeczywiście luka w zabezpieczeniach. Czy programiści Chrome (i twórcy innych przeglądarek, takich jak Internet Explorer, a nawet Firefox z ustawieniami domyślnymi) zmieniają to zachowanie? Czy użytkownicy zostali zdradzeni przez programistów, ponieważ przeglądarki nie ostrzegają użytkowników o tym zachowaniu?

Z jednej strony istnieją dobre argumenty za obecnym zachowaniem.

  • Chrome i Internet Explorer zabezpieczają zapisane hasła za pomocą hasła do konta użytkownika Windows. Jeśli nie jesteś zalogowany, twoje hasła są niedostępne. Jeśli atakujący zmieni hasło do konta systemu Windows, twoje hasła staną się niedostępne. Zakładając, że używasz silnego hasła do systemu Windows i blokujesz komputer, gdy go nie używasz, teoretycznie jesteś bezpieczny.
  • Jeśli atakujący ma fizyczny dostęp do komputera lub złośliwy program działa w tle, może zarejestrować twoje uderzenia klawiszy i uzyskać "główne hasło" używane do zabezpieczenia haseł w Firefoksie lub dedykowany menedżer haseł, taki jak LastPass. Główne hasło w Chrome zapewniłoby fałszywe poczucie bezpieczeństwa.
  • Hasło główne to dodatkowa metoda zabezpieczeń, która może powodować niedogodności dla przeciętnych użytkowników, którzy mimo wszystko zdecydowaliby się ją wyłączyć. Użytkownicy nie będą chcieli wprowadzać hasła głównego przed użyciem zapisanych haseł.
  • Jeśli Twoja przeglądarka była już zalogowana na konto w witrynie internetowej, osoba atakująca może uzyskać dostęp do Twojego konta w tej witrynie, jeśli ma dostęp do przeglądarki.

Z drugiej strony użytkownicy nie przestrzegają doskonałych praktyk bezpieczeństwa w rzeczywistym świecie:

  • Wiele osób współużytkuje konta użytkowników Windows, ustawia ich komputery tak, aby automatycznie logowały się lub pozwalały gościom korzystać z komputerów bez patrzenia przez ramię przez cały czas. Dzięki temu dostęp do zapisanych haseł jest banalny. Każdy, kto choćby zdalnie ciekawy, może rzucić okiem na hasła.
  • Hasło główne pozwoliłoby użytkownikom dalej zabezpieczyć bazę danych haseł, umożliwiając im zapisywanie haseł bez martwienia się o gości korzystających z ich komputera i odczuwając pokusę, aby na nie spojrzeć.
  • Wiele haseł do kont użytkowników systemu Windows jest bardzo słabych, więc hasła będą mało chronione. Wiele osób również nie blokuje swoich komputerów za każdym razem, gdy odsuwają się od nich.
  • Chrome zapewnia wiele profili użytkowników, zachęcając użytkowników do udostępniania profili Chrome na jednym koncie użytkownika, ale nie zapewnia metod izolowania tych profili i uniemożliwia innym użytkownikom Chrome uzyskanie dostępu do innych haseł do kont
  • Jeśli osoba atakująca uzyska dostęp do już zalogowanej witryny, ale nie ma Twojego hasła, nie będzie w stanie zmienić hasła ani usunąć konta.
  • Przeciętni użytkownicy prawdopodobnie oczekują, że ich hasła będą trudniejsze do wyświetlenia. Nie ma żadnego ostrzeżenia informującego, że każdy, kto ma dostęp do ich komputerów, może przeglądać zapisane hasła lub że powinien ustawić silne hasło do systemu Windows i zablokować swoje komputery, gdy od nich odejdą.

Więc która strona ma rację? Cóż, Chrome zabezpieczy Twoje hasło, jeśli zastosujesz idealne procedury bezpieczeństwa. Powiedział, że Chrome (oraz IE i Firefox w domyślnej konfiguracji) również nie dostarcza wystarczających informacji dla użytkowników o tym, co robi. W prawdziwym świecie hasło główne może być przydatne dla wielu osób.

Jak chronić zapisane hasła

Jeśli martwisz się o swoje zapisane hasła, oto kilka wskazówek, których możesz użyć, aby zabezpieczyć je przed ciekawskimi oczami:

  • Użyj dedykowanego menedżera haseł, takiego jak LastPass. Te menedżery haseł działają z każdą przeglądarką i zapewniają główne hasło, które blokuje dostęp do haseł po wylogowaniu. Programiści Chrome mogą nie chcieć udostępniać funkcji głównego hasła, ale możesz dodać ją sam, używając LastPass zamiast domyślnego menedżera haseł Chrome. Jest to wszechstronna opcja, podobnie jak inne menedżery haseł, takie jak KeePass.

  • Jeśli używasz przeglądarki Firefox, włącz funkcję głównego hasła. Jest to domyślnie wyłączone, ponieważ programiści Firefoksa nie lubią doświadczenia użytkownika, ale hasło główne pozwala "zablokować" bazę danych haseł jednym hasłem głównym. Następnie możesz udostępnić swoje konto użytkownika innym osobom, a oni nie będą mogli przeglądać twoich haseł. Oczywiście, mogliby zainstalować kluczowy program rejestrujący, gdy nie patrzysz, ale wiele osób, które mogą mieć ochotę zaglądać do twoich haseł, nie chciałoby przejść przez całą drogę z kluczowym rejestratorem. Właśnie dlatego zamykamy drzwi - zamki nie są doskonałe, ale uczciwie trzymają uczciwych ludzi.

  • Jeśli używasz przeglądarki Chrome lub Internet Explorer i chcesz nadal korzystać z wbudowanego menedżera haseł, upewnij się, że korzystasz z dobrych praktyk bezpieczeństwa. Ustaw silne hasło do konta użytkownika systemu Windows i zablokuj komputer za każdym razem, gdy od niego odejdziesz. Ktoś, kto ma dostęp do komputera podczas logowania, może szybko rzucić okiem na swoje hasła - zwłaszcza w Chrome.

Chcesz uzyskać bardziej szczegółowe informacje na temat bezpieczeństwa zapisanych haseł w używanej przeglądarce? Zapoznaj się z naszą szczegółową analizą zabezpieczeń haseł Chrome i zabezpieczeń haseł programu Internet Explorer.