Jak zabránit uživatelům v prohlížení uložených hesel prohlížeče
Uložili jste někdy heslo do prohlížeče - Chrome, Firefox, Internet Explorer nebo jiného prohlížeče? Vaše hesla jsou pravděpodobně viditelná každým, kdo má přístup k vašemu počítači, když jste přihlášeni.
Vývojáři prohlížeče Chrome a Firefox si myslí, že je to v pořádku, protože byste měli zabránit lidem v přístupu k vašemu počítači, ale to bude pravděpodobně překvapením mnoha lidí.
Jak může někdo s přístupem k počítači zobrazit vaše hesla
Za předpokladu, že necháte počítač přihlášen a někdo jiný jej používá, mohou otevřít stránku nastavení aplikace Chrome, přejděte do části Hesla a snadno si prohlédnout všechna uložená heslo.
Pro snadný přístup na tuto stránku můžete do adresního řádku Chrome připojit chrome: // settings / passwords. Klepněte na pole s heslem a klikněte na tlačítko Zobrazit - můžete zobrazit žádné heslo uložené v prohlížeči Chrome bez dalších pokynů.
Pomocí výchozích nastavení aplikace Firefox můžete otevřít okno Možnosti, zvolit panel Zabezpečení a klepnout na tlačítko Uložená hesla. Zvolte možnost Zobrazit hesla a uvidíte seznam všech hesel uložených v prohlížeči Firefox v počítači.
Firefox vám umožňuje nastavit "hlavní heslo", které musíte zadat předtím, než si můžete prohlížet nebo používat uložená hesla, avšak ve výchozím nastavení je tato volba vypnuta a Firefox nevyzve uživatele k nastavení jednoho.
Aplikace Internet Explorer neposkytuje žádný integrovaný způsob zobrazení svých uložených hesel. Tato zřejmá bezpečnost je však zavádějící. Pomocí nástroje, jako je bezplatný IE PassView, můžete zobrazit všechna uložená IE hesla pro aktuální uživatelský účet. Můžete také zobrazit hesla bez instalace jakéhokoli softwaru - stačí navštívit webovou stránku, kde je heslo automaticky vyplněno, a použít něco jako bookmarklet Reveal Passwords k odhalení hesla, které bylo automaticky zadáno.
Co se tam děje? Je to bezpečnostní chyba zabezpečení?
Docházelo k diskusi mezi geeky o tom, zda je to opravdu bezpečnostní zranitelnost. Měly by vývojáři Chrome (a vývojáři jiných prohlížečů, například Internet Explorer a dokonce i Firefox s výchozím nastavením) toto chování změnit? Uživatelé byli zraděni vývojáři, protože prohlížeče neohrozují uživatele o tomto chování?
Na jedné straně existují některé dobré argumenty pro současné chování.
- Chrome a Internet Explorer zabezpečují uložená hesla heslem uživatelského účtu systému Windows. Pokud nejste přihlášeni, vaše hesla jsou nepřístupná. Pokud útočník změní heslo účtu Windows, vaše hesla se stanou nepřístupnými. Za předpokladu, že používáte silné heslo systému Windows a zamknete počítač, když jej nepoužíváte, jste teoreticky bezpečný.
- Pokud má útočník fyzický přístup k vašemu počítači nebo je spuštěn škodlivý program na pozadí, mohl by se přihlásit klepnutím na klávesy a získat libovolné "hlavní heslo", které slouží k zabezpečení vašich hesel ve Firefoxu nebo specializovanému správci hesel, jako je LastPass. Hlavní heslo v Chromu by poskytlo falešný pocit bezpečí.
- Hlavní heslo je dodatečná bezpečnostní metoda, která by způsobila nepohodlí průměrných uživatelů, kteří by se rozhodli tuto funkci zakázat. Uživatelé by nemuseli muset zadávat hlavní heslo před použitím uložených hesel.
- Pokud byl váš prohlížeč již přihlášen k účtu na webu, mohl by útočník získat přístup k vašemu účtu na daném webu, pokud má přístup k vašemu prohlížeči.
Na druhou stranu uživatelé v reálném světě nedodržují dokonalé bezpečnostní postupy:
- Mnoho lidí sdílí uživatelské účty systému Windows, nastaví automatické přihlašování svých počítačů nebo nechá hosty používat své počítače, aniž by se po celou dobu dívaly přes rameno. To způsobuje, že přístup k uloženým heslům je triviální. Kdosi, i vzdáleně zvědaví, by se mohli podívat na hesla.
- Hlavní heslo by uživatelům umožnilo dále zabezpečit databázi hesel, což jim umožní ukládat hesla, aniž by se obávali hosty pomocí svého počítače a byli pokoušeni se na ně podívat.
- Mnoho hesel pro uživatelské účty systému Windows je velmi slabé, takže hesla by neměla dostatečnou ochranu. Mnoho lidí také nezamkne své počítače při každém kroku.
- Chrome poskytuje více uživatelských profilů a povzbuzuje uživatele ke sdílení profilů Chrome na jednom uživatelském účtu, ale neposkytuje žádný způsob, jak tyto profily izolovat a zabránit ostatním uživatelským profilům prohlížeče Chrome přístup k jiným heslům účtu
- Pokud útočník získal přístup k již přihlášenému webu, ale neměl vaše heslo, nebyl by schopen změnit heslo nebo odstranit váš účet.
- Průměrní uživatelé pravděpodobně očekávají, že jejich hesla budou těžší. Neexistuje žádné varování, které by jim informovalo, že někdo, kdo má přístup k jejich počítačům, může zobrazit uložená hesla nebo že by měli nastavit silné heslo systému Windows a uzamknout své počítače, když od nich odtrhnou.
Takže která strana má pravdu? Chrome dodržuje vaše heslo, pokud budete postupovat podle ideálních bezpečnostních postupů. To znamená, že Chrome (a IE a Firefox ve své výchozí konfiguraci) také neposkytuje dostatek informací uživatelům o tom, co dělá. V reálném světě by mohlo být pro mnoho lidí užitečné hlavní heslo.
Jak chránit uložená hesla
Pokud se obáváte o uložených heslech, je zde několik tipů, které můžete použít k jejich zabezpečení před zvědavými očima:
- Použijte vyhrazeného správce hesel, například LastPass. Tito správci hesel pracují s každým prohlížečem a poskytují hlavní heslo, které zablokuje přístup k vašim heslům, když jste odhlášeni. Vývojáři Chrome vás možná nebudou chtít věnovat funkci hlavního hesla, ale můžete jej přidat pomocí programu LastPass namísto výchozího správce hesel Chrome. Je to všudypřítomnější silnější možnost, stejně jako ostatní správci hesel, jako KeePass.
- Používáte-li Firefox, povolte funkci master password. Toto nastavení je ve výchozím nastavení vypnuto, protože vývojáři prohlížeče Firefoxu nemají rádi zkušenosti uživatelů, ale hlavní heslo umožňuje "zamknout" databázi hesel jediným hlavním heslem. Následně můžete sdílet svůj uživatelský účet s jinými lidmi a nebudou moci prohlížet vaše hesla. Jistě, mohli by si nainstalovat klíčový záznamník, zatímco nehledáte, ale mnoho lidí, kteří by mohli být v pokušení podívat se na vaše hesla, by nechtěli jít celou cestu s klíčovým záznamníkem. To je důvod, proč zablokujeme dveře - zámky nejsou dokonalé, ale udržují poctivé lidi upřímné.
- Pokud používáte prohlížeč Chrome nebo Internet Explorer a chcete pokračovat v používání vestavěného správce hesel, zajistěte, abyste uplatnili dobré bezpečnostní postupy. Nastavte silné heslo pro uživatelské účty systému Windows a uzamkněte počítač vždy, když se od něj odkloníte. Někdo s přístupem k počítači, když je přihlášen, může rychle prohlédnout vaše hesla - zejména v prohlížeči Chrome.
Chcete získat podrobnější informace o tom, jak bezpečná uložená hesla jsou v prohlížeči, který používáte? Podívejte se na naše hloubkové pohledy na bezpečnost hesel Chrome a zabezpečení heslem aplikace Internet Explorer.