30Aug
Har du någonsin sparat ett lösenord i din webbläsare - Chrome, Firefox, Internet Explorer eller någon annan? Därefter kan dina lösenord ses av alla som har tillgång till din dator när du är inloggad.
Chrome och Firefox utvecklare tycker att det här är bra, eftersom du borde hindra folk från att komma åt din dator i första hand, men det kommer troligen att kommasom en överraskning för många människor.
Hur någon som har tillgång till datorn kan se dina lösenord
Anta att du lämnar datorn inloggad och någon annan använder den, de kan öppna Chrome-inställningssidan, gå till avsnittet Lösenord och enkelt se alla lösenord som du har sparat.
Du kan ansluta krom: //settings/ lösenord till Chromes adressfält för enkel åtkomst till den här sidan. Klicka på ett lösenordsfält och klicka på Visa-knappen - du kan se något lösenord som sparats i Chrome utan några ytterligare anvisningar.
Med Firefox standardinställningar kan du öppna fönstret Alternativ, välj Säkerhetsfältet och klicka på knappen Sparade lösenord. Välj Visa lösenord och du kan se en lista över alla lösenord som sparats i Firefox på din dator.
Firefox låter dig ställa in ett "huvudlösenord" som måste anges innan du kan visa eller använda sparade lösenord, men det här är inaktiverat som standard och Firefox uppmanar inte användare att ställa in en.
Internet Explorer ger inget inbyggt sätt att visa sina sparade lösenord. Denna uppenbara säkerhet är emellertid vilseledande. Med ett verktyg som den fria IE PassView kan du se alla sparade IE-lösenord för det aktuella användarkontot. Du kan också visa lösenord utan att installera någon programvara - besök bara en webbplats där lösenordet fylls automatiskt och använd något som bokmärket Reveal Passwords för att avslöja lösenordet som automatiskt matades in.
Vad händer här?Är det här ett säkerhetsproblem?
Det har förekommit en diskussion mellan nationer om huruvida detta verkligen är en säkerhetsproblem. Skulle Chromes utvecklare( och utvecklare av andra webbläsare, som Internet Explorer och även Firefox med standardinställningarna) ändra detta beteende? Har användare blivit förråda av utvecklare, eftersom webbläsare inte varnar användarna om detta beteende?
Å ena sidan finns det några bra argument för det aktuella beteendet.
- Chrome och Internet Explorer säkrar båda dina sparade lösenord med ditt lösenord för Windows användarkonto. Om du inte är inloggad är dina lösenord otillgängliga. Om en angripare ändrar ditt lösenord för Windows-konto blir dina lösenord otillgängliga. Om du antar att du använder ett starkt Windows-lösenord och låser datorn när du inte använder den, är du teoretiskt säker.
- Om en angripare har fysisk åtkomst till din dator eller ett skadligt program körs i bakgrunden kan det logga in dina nyckelslag och få något "huvudlösenord" som används för att säkra dina lösenord i Firefox eller en dedikerad lösenordshanterare som LastPass. Ett huvudlösenord i Chrome skulle ge en falsk känsla av säkerhet.
- Ett huvudlösenord är en extra säkerhetsmetod som skulle kunna generera genomsnittliga användare, vem skulle välja att inaktivera det ändå.Användare vill inte behöva ange ett huvudlösenord innan de använder sina sparade lösenord.
- Om din webbläsare redan var inloggad på ett konto på en webbplats kan angriparen få tillgång till ditt konto på den webbplatsen om de har tillgång till din webbläsare.
Å andra sidan följer inte användarna perfekta säkerhetspraxis i den verkliga världen:
- Många delar Windows-användarkonton, ställer in sina datorer för att automatiskt logga in eller låta gästerna använda sina datorer utan att titta över axeln hela tiden. Detta gör att åtkomst till sparade lösenord trivialt. Vem som än är avlägsen nyfiken kan titta på lösenorden.
- Ett huvudlösenord skulle tillåta användare att ytterligare säkra deras lösenordsdatabas, så att de kan spara lösenord utan att oroa sig för att gästerna använder sin dator och frestas att titta på dem.
- Många Windows-användarkonto lösenord är extremt svaga, så lösenorden skulle ha lite skydd. Många människor låser inte heller sina datorer varje gång de går iväg.
- Chrome ger flera användarprofiler och uppmuntrar användare att dela Chrome-profiler på ett enda användarkonto men det finns ingen metod att isolera dessa profiler och hindra andra Chrome-användarprofiler från att komma åt andra lösenord för lösenord
- Om en angripare fått tillgång till en redan inloggad-på webbplatsen men inte har ditt lösenord, skulle de inte kunna ändra ditt lösenord eller radera ditt konto.
- Genomsnittliga användare förväntar sig förmodligen att deras lösenord är svårare att visa. Det finns ingen varning som informerar dem om att alla som har tillgång till sina datorer kan visa sina sparade lösenord eller att de ska ställa in ett starkt Windows-lösenord och låsa sina datorer när de går bort från dem.
Så vilken sida är rätt? Nåväl säkerställer Chrome ditt lösenord om du följer ideala säkerhetsprocedurer. Med det sagt, Chrome( och IE och Firefox i standardkonfigurationen) ger inte heller tillräckligt med information till användarna om vad den gör. I den verkliga världen kan ett huvudlösenord vara användbart för många människor.
Så här skyddar du dina sparade lösenord
Om du är orolig för dina sparade lösenord, här är några tips du kan använda för att säkra dem från nyfikna ögon:
- Använd en dedikerad lösenordschef, som LastPass. Dessa lösenordshanterare arbetar med varje webbläsare och tillhandahåller ett huvudlösenord som låser åtkomst till dina lösenord när du är inloggad. Chrome: s utvecklare kanske inte vill ge dig huvudfunktionen för huvudlösenord, men du kan lägga till det själv med hjälp av LastPass i stället för Chromes standardlösenordshanterare. Det är ett allt mer kraftfullt alternativ, liksom andra lösenordshanterare som KeePass.
- Om du använder Firefox, aktivera funktionen för huvudlösenord. Detta är avstängt som standard eftersom Firefox-utvecklarna inte gillar användarupplevelsen, men ett huvudlösenord låter dig "låsa" din lösenordsdatabas med ett enda huvudlösenord. Du kan sedan dela ditt användarkonto med andra personer och de kommer inte att kunna titta på dina lösenord. Visst, de kunde installera en nyckellogg medan du inte tittar, men många som kanske skulle bli frestad att kika på dina lösenord skulle inte vilja gå hela vägen med en nyckelloggare. Det är därför vi låser våra dörrar - låsen är inte perfekta, men de håller ärliga människor ärliga.
- Om du använder Chrome eller Internet Explorer och vill fortsätta använda den inbyggda lösenordshanteraren, se till att du utövar bra säkerhetsrutiner. Ange ett starkt lösenord för användarkontot för Windows och låsa din dator när du går bort från den. Någon som har tillgång till din dator när den är inloggad kan snabbt titta på dina lösenord - speciellt med Chrome.
Vill du ha mer djupgående information om hur säkra dina sparade lösenord finns i webbläsaren du använder? Kolla in vår djupgående titt på Chromes lösenordsäkerhet och Internet Explorer lösenordssäkerhet.