30Aug
Už jste někdy uložili heslo do prohlížeče - Chrome, Firefox, Internet Explorer nebo jiného prohlížeče? Vaše hesla jsou pravděpodobně viditelné každým, kdo má přístup k vašemu počítači, když jste přihlášeni.
Vývojáři prohlížeče Chrome a Firefox si myslí, že je to v pořádku, protože byste měli zabránit lidem v přístupu k vašemu počítači, ale to pravděpodobně přijdejako překvapení pro mnoho lidí.
Jak může někdo s přístupem k počítači zobrazit vaše hesla
Za předpokladu, že necháte počítač přihlášen a někdo jiný jej používá, mohou otevřít stránku Nastavení Chrome, přejít do sekce Hesla a jednoduše si prohlédnout všechna uložená heslo.
Hesla //settings/ chrome: //settings/ můžete do panelu adresy Chrome umístit pro snadný přístup na tuto stránku. Klikněte na pole s heslem a klikněte na tlačítko Zobrazit - v prohlížeči Chrome se zobrazí žádné heslo bez dalších pokynů.
S výchozím nastavením prohlížeče Firefox můžete otevřít okno Možnosti, zvolit panel Zabezpečení a klepnout na tlačítko Uložená hesla. Zvolte možnost Zobrazit hesla a zobrazí se seznam všech hesel uložených ve vašem počítači ve Firefoxu.
Firefox vám umožňuje nastavit "hlavní heslo", které musíte zadat předtím, než si můžete prohlížet nebo používat uložená hesla, ale ve výchozím nastavení je tato funkce vypnuta a Firefox nevyzve uživatele k nastavení.
Internet Explorer neposkytuje žádný vestavěný způsob zobrazení svých uložených hesel. Tato zřejmá bezpečnost je však zavádějící.Pomocí nástroje, jako je bezplatný IE PassView, můžete zobrazit všechna uložená IE hesla pro aktuální uživatelský účet. Můžete také zobrazit hesla bez instalace jakéhokoli softwaru - stačí navštívit webovou stránku, kde je heslo automaticky vyplněno, a pro zobrazení hesla, které bylo automaticky zadáno, použijte něco jako bookmarklet Reveal Passwords.
Co se tam děje? Je tato bezpečnostní chyba zabezpečení?
Byla rozpačitá debata mezi geeky, zda je to opravdu bezpečnostní zranitelnost. Měly by vývojáři Chrome( a vývojáři jiných prohlížečů, například Internet Explorer a dokonce i Firefox s výchozím nastavením) toto chování změnit? Byl uživatel zklamán vývojáři, vzhledem k tomu, že prohlížeče nepovolují uživatele o tomto chování?
Na jedné straně existují některé dobré argumenty pro současné chování.Program
- Chrome a Internet Explorer zabezpečují vaše uložená hesla pomocí hesla uživatelského účtu systému Windows. Pokud nejste přihlášeni, vaše hesla jsou nepřístupná.Pokud útočník změní heslo účtu Windows, vaše hesla se stanou nepřístupnými. Za předpokladu, že používáte silné heslo systému Windows a zamknete počítač, když jej nepoužíváte, jste teoreticky bezpečný.
- Pokud má útočník fyzický přístup k vašemu počítači nebo je spuštěn škodlivý program na pozadí, mohl by se přihlásit ke klíči a získat jakékoliv "hlavní heslo" použité k zabezpečení hesel ve Firefoxu nebo vyhrazeném správci hesel, jako je LastPass. Hlavní heslo v Chromu by poskytlo falešný pocit bezpečí.
- Hlavní heslo je dodatečná bezpečnostní metoda, která by způsobila nepohodlí průměrných uživatelů, kteří by se rozhodli tuto funkci zakázat. Uživatelé by nemuseli muset zadávat hlavní heslo před použitím uložených hesel.
- Pokud byl váš prohlížeč již přihlášen k účtu na webu, mohl by útočník získat přístup k vašemu účtu na této webové stránce, pokud má přístup k vašemu prohlížeči.
Na druhé straně uživatelé nedodržují dokonalé bezpečnostní postupy v reálném světě:
- Mnoho lidí sdílí uživatelské účty systému Windows, nastaví automatické přihlašování svých počítačů nebo nechá hosty používat počítače bez toho, aby se po celou dobu dívaly přes rameno. To umožňuje přístup k uloženým heslům triviální.Kdosi, i vzdáleně zvědaví, by se mohli podívat na hesla.
- Hlavní heslo by uživatelům umožnilo dále zabezpečit svou databázi hesel, což jim umožní ukládat hesla bez obav o hosty, kteří používají svůj počítač a jsou pokoušeni se na ně podívat.
- Mnoho hesel pro uživatelské účty systému Windows je velmi slabé, takže hesla by neměli žádnou ochranu. Mnoho lidí také nezamkne své počítače pokaždé, když odjedou.
- Chrome poskytuje více uživatelských profilů a povzbuzuje uživatele, aby sdíleli profily Chrome na jednom uživatelském účtu, ale neposkytuje žádnou metodu izolace těchto profilů a brání jiným uživatelským profilům Chrome přístup k jiným heslům účtu
- Pokud útočník získal přístup k již přihlášeným uživatelským profilům,ale nemáte heslo, nebyli by schopni změnit vaše heslo ani smazat váš účet.
- Průměrní uživatelé pravděpodobně očekávají, že jejich hesla jsou těžší.Neexistuje žádné varování, které by jim informovalo, že někdo, kdo má přístup k jejich počítačím, si může prohlédnout své uložené hesla nebo že by měli nastavit silné heslo systému Windows a uzamknout své počítače, když se od nich vzdávají.
Která strana je správná?Pokud dodržujete ideální bezpečnostní postupy, Chrome chrání vaše heslo. To znamená, že Chrome( a IE a Firefox ve své výchozí konfiguraci) také neposkytuje dostatek informací uživatelům o tom, co dělá.V reálném světě by mohlo být pro mnoho lidí užitečné hlavní heslo.
Jak chránit vaše uložená hesla
Pokud se obáváte o uložená hesla, je zde několik tipů, které můžete použít k jejich zabezpečení před zvědavými očima:
- Použijte vyhrazeného hesla jako LastPass. Tito správci hesel pracují s každým prohlížečem a poskytují hlavní heslo, které zablokuje přístup k vašim heslům po odhlášení.Vývojáři prohlížeče Chrome vás možná nebudou chtít věnovat funkci hlavního hesla, ale můžete jej přidat pomocí programu LastPass místo výchozího správce hesel Chrome. Je to všudypřítomnější silnější volba, stejně jako ostatní správci hesel, jako je KeePass.
- Pokud používáte Firefox, povolte funkci master password. Toto nastavení je ve výchozím nastavení vypnuto, protože vývojáři prohlížeče Firefoxu nemají rádi zkušenosti uživatelů, ale hlavní heslo umožňuje "uzamknout" databázi hesel jediným hlavním heslem. Potom můžete sdílet svůj uživatelský účet s jinými lidmi a nebudou moci prohlížet vaše hesla. Jistě, mohli byste si nainstalovat klíčový záznamník, zatímco nehledáte, ale mnoho lidí, kteří by mohli být v pokušení podívat se na vaše hesla, by nechtělo jít celou cestu s klíčovým záznamníkem. To je důvod, proč zablokujeme dveře - zámky nejsou dokonalé, ale udržují poctivé lidi upřímné.
- Pokud používáte prohlížeč Chrome nebo Internet Explorer a chcete pokračovat v používání vestavěného správce hesel, ujistěte se, že používáte dobré bezpečnostní postupy. Nastavte silné heslo pro uživatelské účty systému Windows a uzamkněte počítač vždy, když se od něj vzdáváte. Někdo s přístupem k počítači, když je přihlášen, může rychle prohlédnout vaše hesla - zejména v prohlížeči Chrome.
Chcete získat podrobnější informace o tom, jak bezpečná uložená hesla jsou v prohlížeči, který používáte? Podívejte se na naše hloubkové pohledy na zabezpečení heslem Chrome a zabezpečení heslem aplikace Internet Explorer.