Как запретить пользователям просматривать сохраненные пароли вашего браузера
Вы когда-нибудь сохраняли пароль в браузере - Chrome, Firefox, Internet Explorer или другой? Тогда ваши пароли, вероятно, будут видны любому, кто имеет доступ к вашему компьютеру, когда вы вошли в систему..
Разработчики Chrome и Firefox считают, что это нормально, так как вы должны в первую очередь препятствовать доступу людей к вашему компьютеру, но это, вероятно, станет неожиданностью для многих людей..
Как любой, у кого есть доступ к вашему компьютеру, может просматривать ваши пароли
Предполагая, что вы оставили свой компьютер в системе и кто-то другой использует его, они могут открыть страницу настроек Chrome, перейти в раздел «Пароли» и легко просмотреть каждый сохраненный вами пароль..
Вы можете подключить chrome: // settings / passwords в адресную строку Chrome для быстрого доступа к этой странице. Щелкните поле пароля и нажмите кнопку Показать - вы можете увидеть любой пароль, сохраненный в Chrome, без дополнительных запросов.
С настройками Firefox по умолчанию вы можете открыть его окно «Параметры», выбрать панель «Безопасность» и нажать кнопку «Сохраненные пароли». Выберите «Показать пароли», и вы увидите список всех паролей, сохраненных в Firefox на вашем компьютере..
Firefox позволяет вам установить «главный пароль», который необходимо ввести, прежде чем вы сможете просматривать или использовать сохраненные пароли, но по умолчанию это отключено, и Firefox не предлагает пользователям установить его..
Internet Explorer не предоставляет встроенного способа просмотра сохраненных паролей. Однако эта очевидная безопасность вводит в заблуждение. С помощью такой утилиты, как бесплатный IE PassView, вы можете просматривать все сохраненные пароли IE для текущей учетной записи пользователя. Вы также можете просматривать пароли без установки какого-либо программного обеспечения - просто посетите веб-сайт, где пароль автоматически заполняется, и используйте что-то вроде букмарклета «Выявление паролей», чтобы раскрыть пароль, который был введен автоматически..
Что тут происходит? Это уязвимость безопасности?
Были гневные дебаты среди гиков о том, является ли это действительно уязвимостью безопасности. Должны ли разработчики Chrome (и разработчики других браузеров, таких как Internet Explorer и даже Firefox с его настройками по умолчанию) изменить это поведение? Были ли пользователи обмануты разработчиками, учитывая, что браузеры не предупреждают пользователей об этом поведении?
С одной стороны, есть несколько хороших аргументов в пользу текущего поведения..
- Chrome и Internet Explorer защищают сохраненные пароли с помощью пароля учетной записи пользователя Windows. Если вы не вошли в систему, ваши пароли недоступны. Если злоумышленник изменит пароль вашей учетной записи Windows, ваши пароли станут недоступными. Предполагая, что вы используете надежный пароль Windows и блокируете компьютер, когда вы его не используете, вы теоретически защищены.
- Если злоумышленник имеет физический доступ к вашему компьютеру или вредоносная программа работает в фоновом режиме, он может регистрировать нажатия клавиш и получать любой «мастер-пароль», используемый для защиты ваших паролей в Firefox или в специальном менеджере паролей, таком как LastPass. Главный пароль в Chrome обеспечит ложное чувство безопасности.
- Мастер-пароль - это дополнительный метод безопасности, который доставит неудобства обычным пользователям, которые все равно захотят его отключить. Пользователи не хотят вводить мастер-пароль перед использованием сохраненных паролей.
- Если ваш браузер уже вошел в учетную запись на веб-сайте, злоумышленник может получить доступ к вашей учетной записи на этом веб-сайте, если у него есть доступ к вашему браузеру..
С другой стороны, пользователи не следуют идеальным методам безопасности в реальном мире:
- Многие люди делят учетные записи пользователей Windows, настраивают свои компьютеры для автоматического входа в систему или позволяют гостям использовать их компьютеры, не оглядываясь через плечо все время. Это делает доступ к сохраненным паролям тривиальным. Любой, даже отдаленно любопытный, может взглянуть на пароли.
- Мастер-пароль позволил бы пользователям дополнительно защитить свою базу паролей, позволяя им сохранять пароли, не беспокоясь о гостях, использующих их компьютер, и о соблазне взглянуть на них..
- Многие пароли учетных записей пользователей Windows чрезвычайно слабы, поэтому пароли будут иметь небольшую защиту. Многие люди также не блокируют свои компьютеры каждый раз, когда они уходят.
- Chrome предоставляет несколько профилей пользователей, поощряя пользователей обмениваться профилями Chrome с одной учетной записью пользователя, но не предоставляет способа изолировать эти профили и не дает другим профилям пользователей Chrome доступа к другим паролям учетной записи.
- Если злоумышленник получил доступ к уже зарегистрированному веб-сайту, но у вас не было пароля, он не сможет изменить ваш пароль или удалить вашу учетную запись..
- Обычные пользователи, вероятно, ожидают, что их пароли сложнее для просмотра. Нет никаких предупреждений, информирующих их о том, что любой, имеющий доступ к своим компьютерам, может просматривать свои сохраненные пароли или что им следует установить надежный пароль Windows и заблокировать свои компьютеры, когда они отходят от них..
Так какая сторона права? Ну, Chrome защищает ваш пароль, если вы следуете идеальным процедурам безопасности. Тем не менее, Chrome (и IE и Firefox в его конфигурации по умолчанию) также не предоставляет достаточно информации пользователям о том, что он делает. В реальном мире мастер-пароль может быть полезен для многих.
Как защитить ваши сохраненные пароли
Если вы беспокоитесь о сохраненных паролях, вот несколько советов, которые вы можете использовать, чтобы защитить их от посторонних глаз:
- Используйте специальный менеджер паролей, например, LastPass. Эти менеджеры паролей работают с каждым браузером и предоставляют главный пароль, который блокирует доступ к вашим паролям при выходе из системы. Разработчики Chrome могут не захотеть предоставлять вам функцию мастер-пароля, но вы можете добавить ее самостоятельно, используя LastPass вместо менеджера паролей Chrome по умолчанию. Это универсальный более мощный вариант, как и другие менеджеры паролей, такие как KeePass.
- Если вы используете Firefox, включите функцию мастер-пароля. Это отключено по умолчанию, потому что разработчикам Firefox не нравится пользовательский интерфейс, но мастер-пароль позволяет вам «заблокировать» базу паролей одним основным паролем. Затем вы можете поделиться своей учетной записью с другими людьми, и они не смогут просматривать ваши пароли. Конечно, они могут установить регистратор ключей, пока вы не смотрите, но многие люди, которые могут испытать желание взглянуть на ваши пароли, не захотят пройти весь путь с регистратором ключей. Вот почему мы запираем наши двери - замки не идеальны, но они делают честных людей честными.
- Если вы пользуетесь Chrome или Internet Explorer и хотите продолжать использовать встроенный менеджер паролей, убедитесь, что вы используете хорошие правила безопасности. Установите надежный пароль учетной записи пользователя Windows и блокируйте компьютер, когда вы от него отойдете. Кто-то, имеющий доступ к вашему компьютеру во время входа, может быстро взглянуть на ваши пароли - особенно с Chrome.
Хотите получить более подробную информацию о том, насколько безопасны ваши сохраненные пароли в используемом вами браузере? Ознакомьтесь с нашим подробным обзором безопасности паролей Chrome и парольной безопасности Internet Explorer..