Ako zabrániť ľuďom zobraziť uložené heslá vášho prehliadača
Už ste si niekedy uložili heslo do prehliadača - Chrome, Firefox, Internet Explorer alebo iného? Vaše heslá sú pravdepodobne viditeľné pre každého, kto má prístup k vášmu počítaču, kým ste prihlásení.
Vývojári prehliadačov Chrome a Firefox si myslia, že je to v poriadku, pretože by ste mali zabrániť tomu, aby ľudia v prvom rade pristupovali k vášmu počítaču, ale to pravdepodobne príde ako prekvapenie pre mnohých ľudí.
Ako môže ktokoľvek s prístupom k počítaču zobraziť vaše heslá
Za predpokladu, že necháte prihlásený počítač a používa ho niekto iný, môžu otvoriť stránku Nastavenia prehliadača Chrome, prejsť na sekciu Heslá a ľahko prezerať každé jednotlivé heslo, ktoré ste uložili.
Môžete pripojiť chrome: // settings / passwords do panela s adresou prehliadača Chrome pre jednoduchý prístup na túto stránku. Kliknite na pole s heslom a kliknite na tlačidlo Zobraziť - môžete vidieť akékoľvek heslo uložené v prehliadači Chrome bez ďalších výziev.
S predvolenými nastaveniami prehliadača Firefox môžete otvoriť okno Možnosti, vybrať podoken Security (Zabezpečenie) a kliknúť na tlačidlo Saved Passwords (Uložené heslá). Vyberte položku Zobraziť heslá a môžete vidieť zoznam všetkých hesiel uložených vo vašom počítači vo Firefoxe.
Firefox vám umožňuje nastaviť "hlavné heslo", ktoré musíte zadať predtým, ako budete môcť zobraziť alebo použiť uložené heslá, avšak v predvolenom nastavení je zakázané a Firefox nevyzve používateľov, aby si nastavili.
Aplikácia Internet Explorer neposkytuje žiadny zabudovaný spôsob zobrazovania uložených hesiel. Táto zjavná bezpečnosť je však zavádzajúca. Pomocou nástroja, ako je bezplatný nástroj IE PassView, môžete zobraziť všetky uložené IE heslá pre aktuálny používateľský účet. Heslá môžete zobraziť aj bez inštalácie softvéru - stačí navštíviť webovú lokalitu, na ktorej je heslo automaticky vyplnené, a použiť niečo ako záloľku na odhalenie hesiel na odhalenie zadaného hesla.
Čo sa tu deje? Je to bezpečnostná zraniteľnosť?
Diskutovalo sa o tom, či ide o bezpečnostnú zraniteľnosť. Mali by vývojári Chrome (a vývojári iných prehliadačov, ako je napríklad Internet Explorer a dokonca aj predvolené nastavenia Firefoxu) toto správanie zmeniť? Používatelia boli zradení vývojármi, keďže prehliadače neoznamujú používateľom toto správanie?
Na jednej strane existujú niektoré dobré argumenty pre súčasné správanie.
- Program Chrome a Internet Explorer zabezpečujú uložené heslá heslom vášho používateľského konta systému Windows. Ak nie ste prihlásení, vaše heslá sú nedostupné. Ak útočník zmení vaše heslo účtu Windows, vaše heslá sa stanú neprístupnými. Za predpokladu, že používate silné heslo systému Windows a zamknete počítač, keď ho nepoužívate, ste teoreticky bezpečný.
- Ak má útočník fyzický prístup k vášmu počítaču alebo je spustený škodlivý program na pozadí, mohol by sa prihlásiť na klávesové skratky a získať akékoľvek "hlavné heslo", ktoré sa používa na zabezpečenie vašich hesiel vo Firefoxe alebo ako správca hesiel ako je LastPass. Hlavné heslo v prehliadači Chrome by poskytlo falošný pocit bezpečia.
- Hlavné heslo je dodatočná bezpečnostná metóda, ktorá by spôsobila nepríjemnosť priemerným používateľom, ktorí by sa rozhodli ho zakázať. Užívatelia by nechceli zadávať hlavné heslo predtým, ako použijú svoje uložené heslá.
- Ak bol váš prehliadač už prihlásený na účet na webovej stránke, mohol by útočník získať prístup k vášmu účtu na danom webe, ak má prístup k vášmu prehliadaču.
Na druhej strane používatelia nedodržiavajú dokonalé bezpečnostné postupy v reálnom svete:
- Mnoho ľudí zdieľa používateľské účty systému Windows, nastaví počítače, aby sa automaticky prihlásili, alebo umožňujú hosťom používať ich počítače bez toho, aby ich po celú dobu hľadeli cez rameno. To umožňuje prístup k uloženým heslám triviálne. Ktokoľvek, dokonca vzdialene zvedavý, by sa mohol pozrieť na heslá.
- Hlavné heslo by používateľom umožnilo ďalej zabezpečiť databázu hesiel, čo im umožní uložiť heslá bez toho, aby sa obávali o tom, že používatelia používajú svoj počítač a či sú v pokušení pozrieť sa na ne.
- Mnoho hesiel používateľských kont Windows je veľmi slabé, takže heslá by mali malú ochranu. Mnohí ľudia tiež nezamknú svoje počítače zakaždým, keď odídu.
- Chrome poskytuje viacero používateľských profilov a povzbudzuje používateľov, aby zdieľali profily prehliadača Chrome v jednom používateľskom účte, ale neposkytuje žiadnu metódu izolovania týchto profilov a zabránenie prístupu iných používateľských profilov prehliadača Chrome k iným heslám účtu
- Ak by útočník získal prístup k už prihlásenej webovej lokalite, ale nemal vaše heslo, nebol by schopný zmeniť heslo alebo odstrániť váš účet.
- Priemerní používatelia pravdepodobne očakávajú, že ich heslá sa budú ťažšie zobrazovať. Neexistuje žiadne upozornenie, ktoré by im informovalo, že ktokoľvek s prístupom k počítačom môže prezerať svoje uložené heslá alebo že by mali nastaviť silné heslo pre systém Windows a uzamknúť počítače, keď od nich odchádzajú.
Takže ktorá strana má pravdu? Prehliadač Chrome zabezpečuje vaše heslo, ak dodržiavate ideálne bezpečnostné postupy. To znamená, že Chrome (a IE a Firefox v predvolenej konfigurácii) tiež neposkytuje dostatok informácií používateľom o tom, čo robí. V skutočnom svete by mohlo byť pre mnohých používateľov užitočné hlavné heslo.
Ako chrániť uložené heslá
Ak sa obávate o vaše uložené heslá, tu je niekoľko tipov, ktoré môžete použiť na ich zabezpečenie pred zvedavými očami:
- Použite vyhradený správca hesiel, napríklad LastPass. Títo správcovia hesiel pracujú s každým prehliadačom a poskytujú hlavné heslo, ktoré zablokuje prístup k vašim heslám po odhlásení. Vývojári prehliadača Chrome pravdepodobne nechcú poskytnúť funkciu hlavného hesla, ale môžete ju pridať sami pomocou aplikácie LastPass v mieste predvoleného správcu hesiel prehliadača Chrome. Je to všestrannejšia silnejšia možnosť, rovnako ako ostatní správcovia hesiel, ako KeePass.
- Ak používate Firefox, aktivujte funkciu hlavného hesla. Toto je predvolene vypnuté, pretože vývojári programu Firefox nemajú radi skúsenosti používateľov, ale hlavné heslo vám umožňuje zamknúť databázu hesiel jediným hlavným heslom. Potom môžete zdieľať svoj používateľský účet s inými ľuďmi a nebudú môcť prezerať vaše heslá. Samozrejme, mohli by si nainštalovať kľúčový záznamník, kým sa nepozeráte, ale mnohí ľudia, ktorí môžu byť v pokušení pozrieť sa na vaše heslá, nechcú ísť celú cestu s kľúčovým loggerom. To je dôvod, prečo zablokujeme naše dvere - zámky nie sú dokonalé, ale udržiavajú čestných ľudí poctivých.
- Ak používate prehliadač Chrome alebo Internet Explorer a chcete pokračovať v používaní zabudovaného správcu hesiel, uistite sa, že používate dobré bezpečnostné postupy. Nastavte si silné heslo pre používateľské konto systému Windows a zamknite počítač vždy, keď sa od neho odkloníte. Niekto, kto má prístup k počítaču počas prihlásenia, môže rýchlo prezrieť vaše heslá - hlavne v prehliadači Chrome.
Chcete viac podrobných informácií o tom, ako bezpečne uložené heslá sú v prehliadači, ktorý používate? Pozrite sa na našu hĺbkovú analýzu zabezpečenia hesla prehliadača Chrome a zabezpečenia hesla programu Internet Explorer.