30Aug

Jak uniemożliwić ludziom przeglądanie zapisanych haseł w przeglądarce

Czy kiedykolwiek zapisałeś hasło w przeglądarce - Chrome, Firefox, Internet Explorer lub inny? Wtedy twoje hasła będą prawdopodobnie widoczne dla każdego, kto ma dostęp do twojego komputera, gdy będziesz zalogowany.

Programiści Chrome i Firefoksa uważają, że to dobrze, ponieważ powinieneś uniemożliwić ludziom dostęp do twojego komputera, ale to prawdopodobnie przyjdzie.jako niespodzianka dla wielu osób.

Jak każdy z dostępem do komputera może wyświetlać twoje hasła

Zakładając, że zostawisz swój komputer zalogowany, a ktoś inny go używa, może otworzyć stronę ustawień Chrome, przejść do sekcji Hasła i łatwo wyświetlić każde zapisane hasło.

Możesz podłączyć hasła chrome: //settings/ do paska adresu Chrome, aby uzyskać łatwy dostęp do tej strony. Kliknij pole hasła i kliknij przycisk Pokaż - zobaczysz hasło zapisane w Chrome bez dodatkowych podpowiedzi.

Przy domyślnych ustawieniach Firefoksa, możesz otworzyć jego okno Opcje, wybrać panel Bezpieczeństwo i kliknąć przycisk Zapisane hasła. Wybierz Pokaż hasła i zobaczysz listę wszystkich haseł zapisanych w Firefoksie na twoim komputerze.

Firefox umożliwia ustawienie "hasła głównego", które należy wprowadzić przed wyświetleniem lub użyciem zapisanych haseł, ale jest to domyślnie wyłączone, a Firefox nie monituje użytkowników o ustawienie hasła.

Internet Explorer nie zapewnia wbudowanego sposobu przeglądania zapisanych haseł.Jednak to pozorne bezpieczeństwo jest mylące. Dzięki narzędziu, takim jak bezpłatny IE PassView, możesz wyświetlić wszystkie zapisane hasła IE dla bieżącego konta użytkownika. Możesz również przeglądać hasła bez instalowania żadnego oprogramowania - wystarczy odwiedzić stronę internetową, na której hasło jest automatycznie wypełniane i użyć czegoś w rodzaju skryptu bookletu Reveal Passwords, aby wyświetlić hasło, które zostało automatycznie wprowadzone.

Co się tutaj dzieje? Czy jest to luka w zabezpieczeniach?

Od pewnego czasu wśród geeków toczy się debata, czy jest to rzeczywiście luka w zabezpieczeniach. Czy programiści Chrome( i twórcy innych przeglądarek, takich jak Internet Explorer, a nawet Firefox z ustawieniami domyślnymi) zmieniają to zachowanie? Czy użytkownicy zostali zdradzeni przez programistów, biorąc pod uwagę, że przeglądarki nie ostrzegają użytkowników o tym zachowaniu?

Z jednej strony istnieją dobre argumenty za obecnym zachowaniem.

  • Chrome i Internet Explorer chronią zapisane hasła za pomocą hasła do konta użytkownika Windows. Jeśli nie jesteś zalogowany, twoje hasła są niedostępne. Jeśli atakujący zmieni hasło do konta systemu Windows, twoje hasła staną się niedostępne. Zakładając, że używasz silnego hasła do systemu Windows i blokujesz komputer, gdy go nie używasz, teoretycznie jesteś bezpieczny.
  • Jeśli atakujący ma fizyczny dostęp do twojego komputera lub złośliwy program działa w tle, może zarejestrować twoje uderzenia klawiszy i uzyskać "główne hasło" używane do zabezpieczenia twoich haseł w Firefoksie lub dedykowany menedżer haseł, taki jak LastPass. Główne hasło w Chrome zapewniłoby fałszywe poczucie bezpieczeństwa.
  • Hasło główne to dodatkowa metoda zabezpieczeń, która powodowałaby niedogodności dla przeciętnych użytkowników, którzy i tak zdecydowaliby się ją wyłączyć.Użytkownicy nie będą chcieli wprowadzać hasła głównego przed użyciem zapisanych haseł.
  • Jeśli Twoja przeglądarka była już zalogowana na konto w witrynie internetowej, osoba atakująca może uzyskać dostęp do Twojego konta w tej witrynie, jeśli ma dostęp do przeglądarki.

Z drugiej strony użytkownicy nie przestrzegają doskonałych praktyk bezpieczeństwa w świecie rzeczywistym:

  • Wiele osób współużytkuje konta użytkowników systemu Windows, ustawia ich komputery tak, aby automatycznie logowały się, lub pozwalały gościom korzystać z ich komputerów bez patrzenia przez ramię przez cały czas. Dzięki temu dostęp do zapisanych haseł jest banalny. Każdy, kto choćby zdalnie ciekawy, może rzucić okiem na hasła.
  • Hasło główne pozwoliłoby użytkownikom dalej zabezpieczyć bazę danych haseł, pozwalając im na zapisywanie haseł bez martwienia się o gości korzystających z ich komputera i ulegając pokusie, by na nie spojrzeć.
  • Wiele haseł do kont użytkowników systemu Windows jest bardzo słabych, więc hasła będą mało chronione. Wiele osób również nie blokuje swoich komputerów za każdym razem, gdy odsuwają się od nich.
  • Chrome udostępnia wiele profili użytkowników, zachęcając użytkowników do udostępniania profili Chrome na jednym koncie użytkownika, ale nie zapewnia żadnej metody izolowania tych profili i uniemożliwia innym użytkownikom profili dostępu do innych haseł
  • . Jeśli atakujący uzyskał dostęp do już zalogowanego kontana stronie internetowej, ale nie masz hasła, nie będzie w stanie zmienić hasła ani usunąć konta.
  • Przeciętni użytkownicy prawdopodobnie oczekują, że ich hasła będą trudniejsze do wyświetlenia. Nie ma żadnego ostrzeżenia informującego, że każdy, kto ma dostęp do ich komputerów, może przeglądać zapisane hasła lub że powinien ustawić silne hasło do systemu Windows i zablokować swoje komputery, gdy odsunie się od nich.

Więc która strona ma rację?Cóż, Chrome zabezpieczy Twoje hasło, jeśli zastosujesz idealne procedury bezpieczeństwa. Powiedział, że Chrome( oraz IE i Firefox w domyślnej konfiguracji) również nie dostarcza wystarczających informacji dla użytkowników o tym, co robi. W prawdziwym świecie hasło główne może być przydatne dla wielu osób.

Jak chronić zapisane hasła

Jeśli martwisz się o zapisane hasła, oto kilka wskazówek, których możesz użyć, aby zabezpieczyć je przed ciekawskimi oczami:

  • Użyj dedykowanego menedżera haseł, takiego jak LastPass. Te menedżery haseł działają z każdą przeglądarką i zapewniają główne hasło, które blokuje dostęp do haseł po wylogowaniu. Programiści Chrome mogą nie chcieć udostępniać funkcji głównego hasła, ale możesz dodać ją sam, używając LastPass zamiast domyślnego menedżera haseł Chrome. Jest to wszechstronna opcja, podobnie jak inne menedżery haseł, takie jak KeePass.
  • Jeśli używasz przeglądarki Firefox, włącz funkcję głównego hasła. Jest to domyślnie wyłączone, ponieważ programiści Firefoksa nie lubią doświadczenia użytkownika, ale hasło główne pozwala "zablokować" bazę danych haseł jednym hasłem głównym. Następnie możesz udostępnić swoje konto użytkownika innym osobom, a oni nie będą mogli przeglądać twoich haseł.Oczywiście, mogą zainstalować kluczowy program rejestrujący, gdy nie patrzysz, ale wiele osób, które mogą mieć ochotę zaglądać do twoich haseł, nie będzie chciało przejść do końca z kluczowym rejestratorem. Właśnie dlatego zamykamy drzwi - zamki nie są doskonałe, ale uczciwie trzymają uczciwych ludzi.
  • Jeśli używasz przeglądarki Chrome lub Internet Explorer i chcesz nadal używać wbudowanego menedżera haseł, upewnij się, że korzystasz z dobrych praktyk bezpieczeństwa. Ustaw silne hasło do konta użytkownika systemu Windows i zablokuj komputer za każdym razem, gdy od niego odejdziesz. Ktoś, kto ma dostęp do komputera podczas logowania, może szybko rzucić okiem na swoje hasła - zwłaszcza w Chrome.

Potrzebujesz więcej szczegółowych informacji na temat bezpieczeństwa zapisanych haseł w używanej przeglądarce? Zapoznaj się z naszą szczegółową analizą zabezpieczeń haseł Chrome i zabezpieczeń haseł programu Internet Explorer.