30Aug
Ali ste kdaj v svojem brskalniku shranili geslo - Chrome, Firefox, Internet Explorer ali drugo? Potem so vaša gesla verjetno vidna vsakomur, ki ima dostop do vašega računalnika, medtem ko ste prijavljeni.
Chrome in razvijalci Firefox menijo, da je to v redu, saj morate najprej preprečiti dostopom do računalnika, to pa bo verjetno prišlokot presenečenje za mnoge ljudi.
Kako lahko kdor koli z dostopom do vašega računalnika vidi svoje gesla
Predvidevam, da pustite računalnik prijavljen in ga nekdo drug uporabi, lahko odprejo stran z nastavitvami za Chrome, pojdite v razdelek »Gesla« in si enostavno ogledate vsako posamezno geslo, ki ste ga shranili.
V naslovno vrstico Chroma lahko enostavno dostopate do te strani s kablom chrome: //settings/.Kliknite polje z geslom in kliknite gumb Pokaži - v njem lahko vidite katero koli geslo, shranjeno v Chromu, brez dodatnih pozivov.
S privzetimi nastavitvami Firefox lahko odprete okno z možnostmi, izberite podokno Varnost in kliknite gumb Shranjene gesla. Izberite Prikaži gesla in seznam vseh gesel, shranjenih v Firefoxu, si lahko ogledate na vašem računalniku.
Firefox vam omogoča, da nastavite »glavno geslo«, ki ga morate vnesti, preden si lahko ogledate ali uporabite shranjena gesla, vendar je to privzeto onemogočeno, Firefox pa ne zahteva, da ga uporabniki nastavijo.
Internet Explorer ne ponuja vgrajenega načina za ogled shranjenih gesel. Vendar je ta očitna varnost zavajajoča. Z orodjem, kot je brezplačni IE PassView, si lahko ogledate vsa shranjena IE gesla za trenutni uporabniški račun. Prav tako si lahko ogledate gesla brez nameščanja programske opreme - obiščite spletno mesto, kjer se geslo samodejno napolni in uporabite nekaj, kot je zaznamek zaznamka za odkrivanje gesel, da bi razkrili geslo, ki je bilo samodejno vneseno.
Kaj se dogaja tukaj? Ali je to varnostna ranljivost?
V razpravah se je razpravljalo, ali gre za varnostno ranljivost. Ali bi morali razvijalci Chroma( in razvijalci drugih brskalnikov, kot sta Internet Explorer in celo Firefox s privzetimi nastavitvami) spremeniti to vedenje? Ali so razvijalci izdali uporabnike, ker brskalniki ne opozarjajo uporabnikov o tem vedenju?
Na eni strani obstaja nekaj dobrih argumentov za trenutno vedenje.
- Chrome in Internet Explorer varujejo shranjena gesla s svojim geslom za uporabniški račun za Windows.Če niste prijavljeni, vaša gesla niso dostopna.Če napadalec spremeni geslo za račun za Windows, vaša gesla postanejo nedostopna.Če uporabljate močno geslo za Windows in zaklenete računalnik, ko ga ne uporabljate, ste teoretično varni.
- Če ima napadalec fizični dostop do vašega računalnika ali v ozadju deluje zlonamerni program, bi lahko prijavil vaše ključne poteze in pridobil kakršno koli "glavno geslo", ki se uporablja za zaščito vaših gesel v Firefoxu ali namenskega upravitelja gesel, kot je LastPass. Glavno geslo v Chromu bi zagotovilo lažen občutek varnosti.
- Glavno geslo je dodatna varnostna metoda, ki bi pomagala povprečnim uporabnikom, ki bi se kljub temu odločili za onemogočenje. Uporabniki ne bi želeli vnesti glavnega gesla pred uporabo shranjenih gesel.
- Če je bil vaš brskalnik že prijavljen v račun na spletnem mestu, bi lahko napadalec dostopal do vašega računa na tej spletni strani, če imajo dostop do vašega brskalnika.
Po drugi strani uporabniki ne sledijo popolnim varnostnim praksam v realnem svetu:
- Mnogi ljudje delijo uporabniške račune Windows, nastavijo svoje računalnike, da se samodejno prijavijo ali pustijo, da gostje uporabljajo svoje računalnike, ne da bi ves čas gledali nad ramo. Tako je dostop do shranjenih gesel trivialen. Vsakdo, ki je celo radoveden, bi lahko pogledal gesla.
- Glavno geslo bi omogočilo uporabnikom, da dodatno zaščitijo svojo bazo podatkov gesel, kar jim omogoča shranjevanje gesel, ne da bi se skrbelo za goste, ki uporabljajo računalnik, in jih skuša pogledati.
- Številna gesla za uporabniški račun za Windows so izredno šibka, zato gesla ne bodo imela zaščite. Mnogi ljudje prav tako ne zaklepajo svojih računalnikov vsakič, ko se odstopijo.
- Chrome ponuja več uporabniških profilov in spodbuja uporabnike, da delijo kromove profile v enem uporabniškem računu, vendar ne ponujajo nobenega načina za izolacijo teh profilov in preprečujejo drugim uporabniškim profilom Chrome dostop do drugih gesel računov
- Če je napadalec pridobil dostop do že prijavljenega računa,na spletnem mestu, vendar niste imeli gesla, ne bi mogli spremeniti gesla ali izbrisati vašega računa.
- Povprečni uporabniki verjetno pričakujejo, da bodo njihova gesla težje videti. Nobenega opozorila ni, da jih lahko vsakdo, ki ima dostop do svojih računalnikov, prikaže svoja shranjena gesla ali da nastavi močno geslo za Windows in zaklene svoje računalnike, ko se odmakne od njih.
Na katero stran je prav? No, Chrome skrbi za geslo, če sledite idejnim varnostnim postopkom. To dejstvo, Chrome( ter IE in Firefox v privzeti konfiguraciji) prav tako ne zagotavljajo dovolj informacij o tem, kaj počnejo uporabniki. V resničnem svetu bi bilo glavno geslo lahko uporabno za mnoge ljudi.
Kako zaščititi svoje shranjene gesla
Če ste zaskrbljeni zaradi shranjenih gesel, tukaj je nekaj nasvetov, ki jih lahko uporabite, da jih zaščitite pred radovednimi očmi:
- Uporabite namenskega upravitelja gesel, kot je LastPass. Ti geselji upravljajo z vsakim brskalnikom in zagotavljajo glavno geslo, ki zaklene dostop do vaših gesel, ko ste odjavljeni. Razvijalci Chrome morda ne želijo dati funkcije glavnega gesla, lahko pa jo dodate sami, tako da uporabite LastPass na privzetem upravitelju gesel Chrome. To je vse močnejša možnost, kot tudi drugi upravljalci gesel, kot je KeePass.
- Če uporabljate Firefox, omogočite funkcijo glavnega gesla. To je privzeto izklopljeno, ker razvijalcem v Firefoxu ni všeč uporabniška izkušnja, vendar pa glavno geslo omogoča, da "zaklenete" svojo zbirko gesel z enim glavnim geslom. Nato lahko delite svoj uporabniški račun z drugimi ljudmi in ne bodo mogli pogledati vaših gesel. Seveda bi lahko namestili ključni logger, medtem ko ne iščete, vendar mnogi ljudje, ki bi jih morda želeli ogledati z gesli, ne bi hoteli iti vse skupaj s ključnim loggerjem. Zato zaklenimo svoja vrata - ključavnice niso popolne, vendar poštene človeke držijo poštenega.
- Če uporabljate Chrome ali Internet Explorer in želite nadaljevati z uporabo vgrajenega upravitelja gesel, zagotovite, da boste izvajali dobre varnostne postopke. Nastavite močno geslo uporabniškega računa za Windows in zaklenite računalnik, ko se oddaljite od njega. Nekdo z dostopom do vašega računalnika, ko je prijavljen, bi lahko hitro pogledal vaša gesla - še posebej s Chromom.
Želite več poglobljenih informacij o tem, kako varna so shranjena gesla v brskalniku, ki ga uporabljate? Oglejte si naš poglobljen pregled nad varnostjo gesla Chrome in varnostnim geslom Internet Explorerja.