Похоже, что почти каждый посещаемый вами сайт имеет какой-то логин. Управлять и вспоминать их практически невозможно, поэтому для удобства все основные веб-браузеры предлагают функция сохранения паролей. Но разработчики программного обеспечения обнаружили, что это плохая идея – доверять конфиденциальную информацию вашему браузеру, особенно если вы используете Google Chrome.
Эллиот Кембер написал в своем блоге о критической уязвимости в безопасности паролей Chrome. Он решил переключиться с Safari на Chrome и хотел импортировать свои закладки из Safari, чтобы иметь доступ к тем же сайтам и контенту на обоих браузерах. Он был удивлен, обнаружив в одной из «Опций» в разделе «Импорт закладок и настроек» возможность импортирования сохраненных паролей. Помимо всего прочего, эту опцию невозможно было изменить, и она была активирована по умолчанию, а это означает, что другого выбора, кроме как импортировать свои сохраненные пароли, у пользователя попросту не было.
Помимо ироничного чекбокса, созданного непонятно для чего, параметры импорта также заставили задуматься Кембера. Chrome не предоставляет никакой защиты для хранимых паролей – в нем нет мастер-пароля, который блокирует доступ к управлению сохраненными паролями. Пароли хранятся в текстовом виде и могут быть показаны при простом нажатии на кнопку «Показать», находящуюся рядом с полем заполнения пароля.
Кембер пишет в своем посте:
.
Как бы удобно это не было, это вообще плохая идея позволять вашему браузеру (любому браузеру) хранить информацию о паролях. Определенно, большинство браузеров справляется с работой лучше, чем Chrome, но браузер управляет только паролями для веб-сайтов и веб-приложений, а значит, вам все еще требуется отдельный инструмент для управления всеми паролями.
Сложность – враг безопасности. Грэм Клули, уважаемый эксперт по безопасности, рекомендует использовать утилиты для управления паролями, вроде LastPass или 1Password. Для пользователей Mac OS X (особенно после официального выпуска Mavericks) альтернативным решением является использование iCloud Keychain.
Удобство – другой враг безопасности. Любая функция или возможности, делающие проще для вас запоминание учетных данных или более легкий доступ к конфиденциальным данным, повышают риск того, что злоумышленник может воспользоваться этим удобством в своих грязных целях. Иметь мастер-ключ к хранящимся защищенным паролям, все же лучше, чем не иметь его, но обладание мастер-ключом также является ахиллесовой пятой, которая предоставит доступ ко всем вашим паролям, если злоумышленник поймет, как взломать мастер-ключ. Справедливости ради нужно отметить, что Chrome (и другие браузеры), не подвержен удаленным атакам. Для того чтобы получить доступ и просматривать сохраненные пароли, кто-то должен иметь физический доступ к компьютеру или устройству с браузером Chrome. Одно из возможных решений – просто убедиться, что ваш компьютер или мобильное устройство заблокировано, когда вас нет рядом.
Также не рекомендуется передавать другим людям компьютер или, по крайней мере, давать им отдельный «гостевой» аккаунт, чтобы они не смогли получить доступ к вашим личным настройкам браузера.
Пароли не собираются никуда уходить в ближайшее время, и вы должны как-то управлять, этим бесконечным списком сложных паролей. Инструмент для управления паролями является эффективным решением, и это определенно лучше, чем хранить важные пароли с помощью функции сохранения паролей в веб-браузере. Для сохранения своего бизнеса и личной информационной безопасности, пользователи должны отказаться от политики хранения паролей в этой манере.
Кембер закончил вызовом:
В браузере хранить можно только пароли для ничего не значащих сайтов, где потерял-спёрли — ну и фиг с ним, другой сразу же заводишь, и больше никаких проблем. У меня вообще на все подобные сайты один пароль, да и логинов в общем тоже три всего.
Для прочих паролей KeePass Password Safe.
Мастер пароль в браузере тоже доставляет неудобства, в мозиле например при каждой синхронизации он запрашивается. Если достаточно сложный (а он и должен таким быть), то лень набирать просто так.