Kluczowe dania na wynos
- Google zaktualizował menedżera haseł wbudowany w przeglądarkę Chrome i system operacyjny Android.
- Firma twierdzi, że nowe funkcje zbliżają ją do zewnętrznych menedżerów haseł.
- Eksperci ds. bezpieczeństwa ostrzegają jednak przed przechowywaniem danych uwierzytelniających w przeglądarce internetowej.
Jak to często bywa w przypadku technologii, wygoda odbywa się kosztem bezpieczeństwa.
Google dodał przydatne funkcje do wbudowanego menedżera haseł w Chrome i Androidzie, dzięki czemu jest prawdziwą alternatywą dla dedykowanych menedżerów haseł. Jednak to nie wystarczy, aby przekonać ekspertów ds. bezpieczeństwa, aby zaufali przeglądarkom do przechowywania haseł.
„Nie jestem fanem przechowywania haseł w żadnej przeglądarce”, powiedział Lifewire Chris Hauk, mistrz ochrony prywatności w Pixel Privacy. „Jednak dotyczy to szczególnie przeglądarki takiej jak Chrome, która w przeszłości doświadczyła licznych naruszeń bezpieczeństwa i prywatności”.
Niewłaściwe narzędzie do pracy
W wymianie e-maili z Lifewire, Dahvid Schloss, Managing Lead, Offensive Security w Echelon Risk + Cyber, powiedział, że wdrożenie menedżera haseł Google wydaje się tworzyć bardzo przyjemną, łatwą w użyciu aplikację do udostępniania między urządzeniami użytkownika. „Ale w ostatecznym rozrachunku aplikacja jest tak bezpieczna, jak najmniej bezpieczne urządzenie, które jej używa”.
Stephanie Benoit-Kurtz, główny wydział Kolegium Systemów Informatycznych i Technologii na Uniwersytecie w Phoenix, zgodziła się. W e-mailu powiedziała Lifewire, że chociaż przeglądarki przeszły długą drogę w zapewnianiu użytkownikom uproszczonego sposobu przechowywania loginów i haseł do stron internetowych, używanie ich do przechowywania haseł jest śliskim podejściem.
Benoit-Kurtz konkretnie zwrócił uwagę na dwa problemy związane z przechowywaniem haseł w przeglądarkach. Pierwszym z nich jest szyfrowanie, ponieważ przeglądarki internetowe zależą od konfiguracji urządzenia w zakresie ustawień szyfrowania. Powiedziała, że zwykli użytkownicy nie doceniają w pełni znaczenia szyfrowania w ochronie ich urządzeń.
„Drugim wyzwaniem jest to, że jeśli urządzenie z ustawieniami przeglądarki zostanie skradzione lub wpadnie w czyjeś ręce w wyniku zhakowania, zły aktor może mieć dostęp do wszystkich danych logowania i hasła do systemów” – powiedział Benoit-Kurtz.
Przyznała również, że chociaż przeglądarki przeszły długą drogę w zakresie bezpieczeństwa, ludzie nadal muszą nadążyć za wszystkimi łatami i niezbędną konserwacją, aby zapewnić ich bezpieczeństwo. Nawet wtedy istnieją zagrożenia dnia zerowego, które mogą narazić nawet w pełni zaktualizowane przeglądarki.
Schloss przyznał, że chociaż nie majstrował jeszcze przy zaktualizowanym menedżerze haseł Chrome, nie wydaje się on być dodatkowym modułem do Chrome.
„Oznacza to, że jest bardzo możliwe, że nie rozwiąże to problemu przechowywania zwykłego tekstu, który był i jest nadużywany przez cyberprzestępców”, wyjaśnił Schloss, „co prowadzi do naruszenia wszystkich haseł, jeśli aktor zagrożenia był już na Twoim urządzeniu."
… aplikacja jest tak bezpieczna, jak najmniej bezpieczne urządzenie, które jej używa.
Zadzwoń do specjalisty
Zamiast używać przeglądarek do przechowywania danych uwierzytelniających, nasi eksperci zalecają korzystanie ze specjalistycznych narzędzi stworzonych specjalnie do przechowywania haseł.
„Aby uzyskać bezpieczniejszą opcję, oceń bardziej zaawansowaną technologię, taką jak przechowalnie haseł, aby zapewnić bezpieczeństwo loginów i haseł”, zasugerował Benoit-Kurtz. „Narzędzia te są zazwyczaj sprzedawane w ramach subskrypcji i zapewniają szyfrowanie, uwierzytelnianie wieloskładnikowe (MFA) oraz inne technologie niezbędne do ochrony loginów i haseł”.
Hauk polega na menedżerze haseł 1Password, który, jak wskazuje, działa na większości popularnych platform i aplikacji oraz bezpiecznie przechowuje dane uwierzytelniające w dobrze zaszyfrowanej bazie danych.
„Menedżerowie haseł umożliwiają tworzenie silnych, złożonych haseł bez pamięci słonia”, powiedział Schloss, „a większość z nich zapewnia pewien poziom monitorowania naruszeń, aby poinformować Cię, kiedy trzeba zmienić witrynę hasło."
Schloss używa Keeper i Last Pass dla swoich urządzeń domowych i służbowych, ale sugeruje, że chociaż oba mają swoje zalety, większość ludzi nie musi używać dwóch menedżerów haseł.
Dowodził, że większość popularnych ma wsparcie dla wielu urządzeń, co czyni je wygodnymi w użyciu. Chociaż wiele osób przechowuje Twoje dane uwierzytelniające na serwerze innej firmy, dane są szyfrowane od początku do końca, co oznacza, że Twoje hasła są bezpieczne, nawet jeśli hakerzy włamią się na serwery Twojego menedżera haseł.
„Mając to na uwadze, każdy menedżer haseł jest lepszy niż brak menedżera haseł” – poradził Schloss. Zwrócił uwagę, że ponowne używanie haseł jest o wiele bardziej niebezpieczne i straszną praktyką, aby wyrobić w sobie nawyk.
„Na przykład w przypadku włamania na witrynę i uzyskania przez cyberprzestępców dostępu do Twojego hasła, mogą użyć tego samego hasła, aby uzyskać dostęp do innych Twoich kont”, ostrzegł Schloss. "Dałeś im wtedy klucze do swojego zamku."