Експерти стверджують, що покладатися на Google Chrome (або будь-який інший браузер) для керування паролями в Інтернеті є дуже поганою ідеєю. Чому? На це запитання відповідають експерти PCMag.
Витік може статися навіть у спеціальних менеджерах паролів
Для компанії, яка побудована на управлінні паролями, довіра – це все. Серйозні компанії використовують техніку нульового знання, щоб захистити ваші зашифровані дані, щоб ані компанія, яка розробляє паролі, ані уряд, ніхто не міг дізнатися ваш головний пароль або розшифрувати ваші дані.
Проте помилки у реалізації можуть загрожувати безпеці паролів. Наприклад, хакери використовували комп’ютер ключового співробітника LastPass, щоб вкрасти невідому кількість зашифрованих сховищ даних. Щобільше, деякі важливі елементи даних, такі як домени входу, не були зашифровані. Тепер довіряти LastPass складно.
Найкращі перевірені менеджери паролів
KeePass – улюблений менеджер паролів технарів завдяки безмежним можливостям налаштування. Однак ця сама можливість налаштування є свого роду ахіллесовою п’ятою. Кожен, хто отримує доступ до вашого комп’ютера за допомогою трояна або сидячи за вашим комп’ютером, може викрасти всі ваші паролі Keepass. Це просто – використати Notepad для створення дії, яка експортує паролі у звичайний текст, а потім надсилає отримані дані до Інтернету.
Щоправда, отримати необхідний доступ може бути складно, але експлойт можливий. Точніше, був можливий. В останньому оновленні KeePass 2.53.1 видалено опцію експорту паролів без необхідності введення головного пароля.
Як увімкнути або вимкнути Google Password Manager
Перш ніж перейти до питання, чи варто використовувати Google Password Manager, розгляньмо, як його можна вимкнути або запустити. По-перше, переконайтеся, що ви увімкнули синхронізацію в усіх екземплярах Chrome, де ви хочете поділитися паролями. Натисніть меню з трьома крапками у верхньому правому куті вікна Chrome, а потім – «Налаштування». Спочатку слід вибрати верхній пункт у лівому меню під назвою «Я та Google». У діалоговому вікні, що з’явиться, можна увімкнути або вимкнути синхронізацію.
Тепер натисніть «Автозаповнення» прямо під «Я та Google», а далі – «Менеджер паролів». Якщо ви хочете використовувати Менеджер паролів Google, увімкніть пункти «Пропонувати зберігати паролі» й «Автоматичний вхід». Якщо ні, то вимкніть їх.
Що кажуть експерти про менеджери паролів браузера
PCMag звернулися до експертів з кількох відомих комерційних компаній із керування паролями, зокрема Крейга Люрі, співзасновника й технічного директора Keeper, Томаса Смалакіса, технічного директора NordPass, і Майкла Кренделла, генерального директора Bitwarden.
Менеджери паролів вебпереглядача зручні, але небезпечні
«Незважаючи на постійні попередження експертів із кібербезпеки про вразливість менеджерів паролів браузера, користувачі Інтернету продовжують потрапляти у пастку «Але ж це зручно!» – говорить Смалакіс.
Шифрування з нульовим знанням є технікою, завдяки якій спеціальні менеджери паролів можуть зберігати ваші дані в безпеці, навіть не маючи доступу до вашого головного пароля.
«Менеджер паролів Google не використовує шифрування з нульовим знанням. По суті, Google може бачити все, що ви зберігаєте. У них є додаткова функція, яка дає змогу шифрувати паролі на пристрої. Але навіть якщо її увімкнути, ключ для розшифровки інформації зберігається на пристрої», – додає Люрі.
Смалакіс погодився, що дані, які зберігаються у браузері, не захищені так, як дані менеджера паролів.
«Хакери використовують методи соціальної інженерії, щоб обманом змусити користувачів Інтернету завантажити нові розширення, які можуть легко витягувати дані, що зберігаються у браузері. Хоча немає нічого поганого у хмарному сховищі паролів, компанія повинна переконатися, що дані користувачів зашифровані перед тим, як вони будуть зберігатися у хмарі. Тому користувачі Інтернету повинні вибрати постачальника послуг, який гарантує наскрізне шифрування», – вважає він.
«Будь-який менеджер паролів краще, ніж його відсутність. Обмеження браузерних менеджерів паролів полягає у тому, що вони працюють лише в «огородженому саду». Якщо вам коли-небудь знадобиться працювати в іншому вебпереглядачі або в іншому середовищі, куди цей вебпереглядач не входить, – вам не пощастило», – зазначив Кренделл.
Менеджери паролів мають більше можливостей
Менеджер паролів Chrome працює лише у Chrome. Якщо ви користуєтеся іншим браузером, то не матимете доступу до паролів. Немає опцій для безпечного обміну паролями або створення «цифрового спадкоємця» для вашої колекції паролів. Браузер зберігає лише паролі, а не особисті дані, такі як адреси, номери рахунків і кредитні картки.
Кренделл підкреслив відсутність важливих функцій у системах паролів на основі браузера. Він зазначив, що таким системам бракує «безпечного обміну паролями, підтримки біометричного входу і ключів безпеки, звітів про те, чи ваші паролі є слабкими, повторно використаними або зламаними, інтеграції з системами на роботі, такими як SSO, та багато іншого».
Багатьом браузерам не потрібен головний пароль або схвалення багатофакторної автентифікації (MFA). Google дозволяє MFA, але не вимагає цього. Якщо ви залишите свій робочий стіл з активним Chrome, усі, хто має доступ, зможуть увійти у ваші облікові записи. Те саме стосується випадків, коли ви дозволяєте іншим користуватися вашим телефоном.
Браузери блокують вас
«Безпека використання браузера Chrome залежить від того, наскільки захищений підключений обліковий запис Gmail. Якщо цей обліковий запис буде зламано, то хакер зможе без особливих зусиль отримати доступ до усіх паролів інших облікових записів, збережених у браузері, – говорить Смалакіс. – Спеціальні менеджери паролів докладають усіх зусиль для розробки безпечного менеджера паролів і проходять незалежні перевірки».
Підсумок: отримайте справжній менеджер паролів
Менеджер паролів Google не використовує методи шифрування з нульовим знанням, які захищають дані паролів від усіх, включно з компанією, яка є диспетчером паролів. Він навіть не використовує головний пароль.
Спеціальні інструменти паролів пропонують багато функцій, яких немає у вбудованому браузері. І ви можете використовувати систему паролів Google тільки у Chrome. Це лише деякі з причин, чому вам варто отримати справжній менеджер паролів, а не покладатися на Chrome.
Надзвичайно зручно, що Google Password Manager постачається як безкоштовна функція безкоштовного браузера. Однак це недостатньо вагома причина погоджуватися на обмежений захист ваших паролів. Існує безліч безкоштовних менеджерів паролів, які пропонують серйозний захист ваших паролів за нуль доларів.
Раніше ми повідомляли про нові функції Chrome на iOS: Переклади, Міні-карти, Календар та Пошук з камери iPhone.