Kľúčové poznatky
- Spoločnosť Google aktualizovala správcu hesiel zabudovaného do svojho webového prehliadača Chrome a operačného systému Android.
- Spoločnosť tvrdí, že nové funkcie ju približujú k správcom hesiel tretích strán.
- Bezpečnostní experti však varujú pred ukladaním prihlasovacích údajov vo webovom prehliadači.
Ako to už pri technológiách býva, pohodlie prichádza na úkor bezpečnosti.
Spoločnosť Google pridala užitočné funkcie do vstavaného správcu hesiel v prehliadačoch Chrome a Android, vďaka ktorým je skutočnou alternatívou k vyhradeným správcom hesiel. To však nestačí na presvedčenie bezpečnostných expertov, aby dôverovali prehliadačom pri ukladaní hesiel.
„Nie som fanúšikom ukladania hesiel v žiadnom webovom prehliadači,“povedal pre Lifewire e-mailom Chris Hauk, šampión ochrany súkromia spotrebiteľov v Pixel Privacy. „Toto však platí najmä pre prehliadač ako Chrome, ktorý v minulosti utrpel množstvo porušení bezpečnosti a ochrany súkromia.“
Zlý nástroj pre prácu
V e-mailovej výmene s Lifewire, Dahvid Schloss, Managing Lead, Offensive Security, v Echelon Risk + Cyber, povedal, že zavedenie správcu hesiel Google vytvorilo veľmi príjemnú a jednoducho použiteľnú aplikáciu na zdieľanie medzi zariadeniami používateľa. "Ale nakoniec je aplikácia len taká bezpečná, ako jej najmenej zabezpečené zariadenie, ktoré ju používa."
Stephanie Benoit-Kurtz, vedúca fakulta na Vysokej škole informačných systémov a technológií na Univerzite vo Phoenixe, súhlasila. V e-maile povedala Lifewire, že hoci prehliadače prešli dlhú cestu v poskytovaní zjednodušeného zážitku používateľom pri ukladaní prihlasovacích údajov a hesiel na webové stránky, ich používanie na ukladanie hesiel je šmykľavý svah.
Benoit-Kurtz konkrétne poukázal na dva problémy s ukladaním hesiel v prehliadačoch. Prvým je šifrovanie, keďže nastavenia šifrovania webové prehliadače závisia od konfigurácie zariadenia. Povedala, že bežní používatelia úplne nedoceňujú dôležitosť šifrovania pri ochrane svojich zariadení.
„Druhou výzvou je, že ak je zariadenie s nastaveniami vášho prehliadača ukradnuté alebo sa dostane do rúk niekoho iného prostredníctvom hackovania, zlý hráč môže mať prístup ku všetkým prihlasovacím údajom a heslám do systémov,“povedal Benoit-Kurtz.
Uznala tiež, že hoci prehliadače prešli dlhú cestu v oblasti zabezpečenia, ľudia stále potrebujú držať krok so všetkými záplatami a nevyhnutnou údržbou, aby boli bezpečné. Dokonca aj vtedy existujú hrozby zero day, ktoré môžu spôsobiť zraniteľnosť aj plne aktualizovaných prehliadačov.
Schloss uznal, že hoci sa ešte nepohral s aktualizovaným správcom hesiel prehliadača Chrome, nezdá sa, že by išlo o doplnkový modul do prehliadača Chrome.
"To znamená, že je veľmi dobre možné, že to nevyrieši problém s ukladaním čistého textu, ktorý bol a je zneužívaný aktérmi hrozieb," vysvetlil Schloss, "čo vedie k prelomeniu všetkých vašich hesiel, ak aktér hrozby už bol na vašom zariadení."
… aplikácia je len taká bezpečná, ako jej najmenej zabezpečené zariadenie, ktoré ju používa.
Zavolajte špecialistovi
Namiesto používania prehliadačov na ukladanie poverení naši odborníci odporúčajú používať špecializované nástroje vytvorené výslovne na ukladanie hesiel.
„Pre bezpečnejšiu možnosť vyskúšajte pokročilejšiu technológiu, ako sú trezory hesiel, aby boli prihlasovacie údaje a heslá v bezpečí,“navrhol Benoit-Kurtz. "Tieto nástroje sa zvyčajne predávajú ako predplatné a poskytujú šifrovanie, viacfaktorovú autentifikáciu (MFA) a ďalšie technológie potrebné na ochranu prihlasovacích údajov a hesiel."
Hauk sa spolieha na správcu hesiel 1Password, ktorý podľa neho funguje na väčšine populárnych platforiem a aplikácií a bezpečne ukladá poverenia v dobre šifrovanej databáze.
"Správcovia hesiel vám umožňujú vytvárať silné a zložité heslá bez toho, aby ste mali pamäť slona," povedal Schloss, "a väčšina z nich poskytuje určitú úroveň monitorovania narušenia, aby ste vedeli, keď potrebujete zmeniť stránku heslo."
Schloss používa Keeper a Last Pass pre svoje domáce a pracovné zariadenia, ale naznačuje, že hoci obe majú svoje výhody, väčšina ľudí nepotrebuje používať dvoch správcov hesiel.
Tvrdil, že väčšina populárnych má podporu naprieč zariadeniami, vďaka ktorej sa pohodlne používajú. Zatiaľ čo mnohí ukladajú vaše poverenia na serveri tretej strany, údaje sú šifrované end-to-end, čo znamená, že vaše heslá sú v bezpečí, aj keď hackeri prelomia servery vášho správcu hesiel.
„To znamená, že každý správca hesiel je lepší ako žiadny správca hesiel,“odporúča Schloss. Poukázal na to, že opakované používanie hesiel je oveľa nebezpečnejšie a je to hrozná prax, na ktorú si treba zvyknúť.
„Napríklad v prípade, že dôjde k narušeniu stránky a aktéri hrozby získajú prístup k vášmu heslu, môžu použiť rovnaké heslo na získanie prístupu k vašim ďalším účtom,“varoval Schloss. "V tom momente si im dal kľúče od svojho hradu."
