Razvojni programeri Chrome i Firefox smatraju da je to u redu, jer biste trebali spriječiti korisnike da prvo pristupaju vašem računalu, ali to će vjerojatno doći kao iznenađenje za mnoge ljude.
Kako svatko s pristupom vašem računalu može vidjeti vaše zaporke
Pretpostavimo li da ste napustili računalo i da ga netko drugi koristi, mogu otvoriti stranicu postavki Chromea, idite na odjeljak Zaporke i jednostavno pregledajte svaku pojedinu zaporku koju ste spremili.
Možete dodati chrome: // postavke / zaporke u Chromeovu adresnu traku radi lakšeg pristupa toj stranici. Kliknite polje za zaporku i kliknite gumb Prikaži - možete vidjeti bilo koju zaporku spremljenu u Chromeu bez dodatnih upita.
Firefox vam omogućuje da postavite "glavnu lozinku" koju morate upisati prije nego što možete pregledati ili koristiti spremljene zaporke, ali to je onemogućeno prema zadanim postavkama i Firefox ne potiče korisnike da ih postavljaju.
Što se ovdje događa? Je li to sigurnosna ranjivost?
Bilo je rasprava među geekom o tome je li to doista sigurnosna ranjivost. Treba li Chromeov razvojni programeri (i razvojni programeri drugih preglednika, kao što je Internet Explorer, pa čak i Firefox sa zadanim postavkama) promijeniti ovo ponašanje? Imaju li izdavači izdavači, budući da preglednici ne upozoravaju korisnike o tom ponašanju?
S jedne strane postoje neki dobri argumenti za trenutno ponašanje.
- Chrome i Internet Explorer obje spremljene zaporke sa zaporkom korisničkog računa za sustav Windows. Ako niste prijavljeni, vaše lozinke nisu dostupne. Ako napadač promijeni vašu zaporku za Windows račun, vaše lozinke postaju nedostupne. Pod pretpostavkom da koristite jaku lozinku za sustav Windows i zaključate računalo kada ga ne upotrebljavate, teorijski ste sigurni.
- Ako napadač ima fizički pristup računalu ili se u pozadini radi zlonamjerni program, mogao bi prijaviti ključne poteze i dobiti bilo koju "glavnu lozinku" koja se koristi za osiguranje vaših zaporki u Firefoxu ili posvećenom upravitelju zaporke kao LastPass. Glavna lozinka u pregledniku Chrome pružila bi lažni osjećaj sigurnosti.
- Glavna lozinka dodatna je sigurnosna metoda koja bi ugrozila prosječne korisnike, koji bi ionako odlučili onemogućiti ih. Korisnici ne žele unijeti glavnu lozinku prije upotrebe spremljenih zaporki.
- Ako je vaš preglednik već prijavljen na račun na web stranici, napadač može pristupiti vašem računu na toj web stranici ako ima pristup vašem pregledniku.
S druge strane, korisnici ne slijede savršene sigurnosne prakse u stvarnom svijetu:
- Mnogi ljudi dijele korisničke račune sustava Windows, postavljaju svoja računala da se automatski prijavljuju ili neka korisnici koriste svoje računalo bez da gledaju preko ramena cijelo vrijeme. Time se pristupa spremljenim zaporkama trivijalnim. Svatko tko je čak i zanosan može pogledati lozinke.
- Glavna lozinka omogućit će korisnicima daljnje osiguranje baze podataka za lozinku, omogućujući im da spremaju lozinke bez brige o gostima koristeći svoje računalo i u iskušenju da ih pogledaju.
- Mnoge lozinke za korisničke račune u sustavu Windows su izuzetno slabe pa će lozinke imati malo zaštite. Mnogi ljudi također ne zaključavaju svoja računala svaki put kad odstupaju.
- Chrome pruža više korisničkih profila, potičući korisnike da dijele profile na Chromeu na jednom korisničkom računu, ali ne pruža način izoliranja tih profila i sprečavanju ostalih Chromeovih korisničkih profila da pristupaju drugim zaporkama računa
- Ako je napadač stekao pristup već prijavljenoj web stranici, ali nije imao vašu lozinku, ne bi mogao mijenjati vašu lozinku ili brisanje računa.
- Prosječni korisnici vjerojatno očekuju da su njihove lozinke teže pregledavati. Nema upozorenja o tome da svatko tko ima pristup svojim računalima može vidjeti svoje spremljene lozinke ili da treba postaviti snažnu lozinku za sustav Windows i zaključati svoja računala kad odstupaju od njih.
Pa koja je strana u pravu? Pa, Chrome osigurava zaporku ako slijedite idealne sigurnosne postupke. To je rekao, Chrome (i IE i Firefox u zadanoj konfiguraciji) također ne pružaju dovoljno informacija korisnicima o tome što radi. U stvarnom svijetu, glavna lozinka mogla bi biti korisna mnogim ljudima.
Kako zaštititi svoje spremljene lozinke
Ako ste zabrinuti za svoje spremljene zaporke, evo nekoliko savjeta koje možete koristiti kako biste ih zaštitili od znatiželjnih očiju:
Koristite namjenski upravitelj lozinke, kao LastPass. Ovi upravitelji lozinke rade sa svakim preglednikom i daju glavnu lozinku koja zaključava pristup vašim zaporkama kad ste odjavljeni. Chromeovi razvojni programeri možda ne žele dati značajku glavne lozinke, ali ga možete dodati pomoću LastPassa umjesto Chromeovog zadanog upravitelja zaporke. To je sveobuhvatnija mogućnost, kao i drugi upravitelji lozinki kao što je KeePass.
Ako koristite Firefox, omogućite značajku glavnog lozinke. To je isključeno prema zadanim postavkama jer programeri Firefox ne vole korisničko iskustvo, ali glavna lozinka omogućuje vam zaključavanje baze podataka lozinke s jednom glavnom lozinkom. Nakon toga možete dijeliti svoj korisnički račun s drugim ljudima i neće moći pogledati vaše lozinke. Svakako, mogli ste instalirati ključni drvosječa dok ne gledate, ali mnogi ljudi koji bi mogli biti u iskušenju da pogledaju vaše lozinke ne žele ići sve do ključa s loggerom. Zato bismo zaključali svoja vrata - brave nisu savršene, ali pošteni ljudi poštuju.
Ako upotrebljavate Chrome ili Internet Explorer i želite nastaviti upotrebljavati ugrađeni upravitelj lozinki, pobrinite se da upotrebljavate dobre sigurnosne postupke. Postavite snažnu lozinku za korisnički račun za sustav Windows i zaključajte svoje računalo kad god se udaljite od njega. Netko s pristupom vašem računalu dok je prijavljen može brzo pogledati vaše zaporke - pogotovo s Chromeom.
Želite li detaljnije informacije o tome koliko ste spremljene spremljene zaporke u pregledniku koji koristite? Pogledajte naše dubinske preglede sigurnosti Chromeova lozinke i sigurnosti lozinke preglednika Internet Explorer.
