Ключевые выводы
- Google обновил диспетчер паролей, встроенный в веб-браузер Chrome и операционную систему Android.
- Компания утверждает, что новые функции приближают ее к сторонним менеджерам паролей.
- Эксперты по безопасности, однако, предостерегают от хранения учетных данных внутри веб-браузера.
Как это часто бывает с технологиями, удобство достигается за счет безопасности.
Google добавил полезные функции во встроенный менеджер паролей в Chrome и Android, что делает его реальной альтернативой специализированным менеджерам паролей. Однако этого недостаточно, чтобы убедить экспертов по безопасности доверять браузерам хранение паролей.
«Я не сторонник хранения паролей в любом веб-браузере», - сказал Lifewire по электронной почте Крис Хаук, поборник конфиденциальности потребителей в Pixel Privacy. «Однако это особенно верно для браузера, такого как Chrome, который в прошлом подвергался многочисленным нарушениям безопасности и конфиденциальности».
Неправильный инструмент для работы
В переписке по электронной почте с Lifewire Дахвид Шлосс, управляющий директор отдела наступательной безопасности в Echelon Risk + Cyber, сказал, что развертывание менеджера паролей Google, похоже, создает очень приятное простое в использовании приложение для обмена между устройствами пользователя. «Но, в конце концов, приложение защищено настолько, насколько наименее защищено устройство, которое его использует».
Стефани Бенуа-Курц, ведущий преподаватель Колледжа информационных систем и технологий Университета Феникса, согласилась. В электронном письме она сообщила Lifewire, что, хотя браузеры прошли долгий путь, предоставляя пользователям упрощенный опыт хранения логинов и паролей на веб-сайтах, их использование для хранения паролей - это скользкий путь.
Бенуа-Курц специально указал на две проблемы с хранением паролей в браузерах. Во-первых, это шифрование, поскольку параметры шифрования веб-браузеров зависят от конфигурации устройства. Она сказала, что обычные пользователи не в полной мере осознают важность шифрования для защиты своих устройств.
«Вторая проблема заключается в том, что если устройство с настройками вашего браузера будет украдено или попадет в чужие руки в результате взлома, злоумышленник может получить доступ ко всем данным логина и пароля к системам», - сказал Бенуа-Курц.
Она также признала, что, хотя браузеры прошли долгий путь с точки зрения безопасности, людям по-прежнему необходимо следить за всеми исправлениями и необходимым обслуживанием, чтобы обеспечить их безопасность. Даже в этом случае существуют угрозы нулевого дня, которые могут сделать уязвимыми даже полностью обновленные браузеры.
Шлосс признал, что, хотя он еще не возился с обновленным менеджером паролей Chrome, похоже, что он не является дополнительным модулем для Chrome.
«Это означает, что вполне возможно, что это не решит проблему хранения открытого текста, которой злоумышленники злоупотребляли и продолжают злоупотреблять, - объяснил Шлосс, - что приводит к взлому всех ваших паролей, если злоумышленник уже был на вашем устройстве."
… приложение защищено настолько, насколько наименее защищено устройство, которое его использует.
Вызов специалиста
Вместо использования браузеров для хранения учетных данных наши эксперты рекомендуют использовать специализированные инструменты, созданные специально для хранения паролей.
«Для более безопасного варианта оцените более продвинутые технологии, такие как хранилища паролей, чтобы обеспечить безопасность логинов и паролей», - предложил Бенуа-Курц. «Эти инструменты обычно продаются по подписке и обеспечивают шифрование, многофакторную аутентификацию (MFA) и другие технологии, необходимые для защиты логинов и паролей».
Хаук полагается на менеджер паролей 1Password, который, по его словам, работает на большинстве популярных платформ и приложений и надежно хранит учетные данные в хорошо зашифрованной базе данных.
«Менеджеры паролей позволяют вам создавать надежные, сложные пароли, не обладая памятью слона, - сказал Шлосс, - и большинство из них обеспечивают некоторый уровень мониторинга взлома, чтобы вы знали, когда вам нужно изменить сайт. пароль."
Шлосс использует Keeper и Last Pass для своих домашних и рабочих устройств, но полагает, что хотя у обоих есть свои преимущества, большинству людей не нужно использовать два менеджера паролей.
Он утверждал, что большинство популярных имеют кроссплатформенную поддержку, что делает их удобными в использовании. Хотя многие хранят ваши учетные данные на стороннем сервере, данные полностью зашифрованы, что означает, что ваши пароли в безопасности, даже если хакеры взломают серверы вашего менеджера паролей.
«При этом любой менеджер паролей лучше, чем отсутствие менеджера паролей», - посоветовал Шлосс. Он указал, что повторное использование паролей намного опаснее, и это ужасная практика, к которой можно привыкнуть.
«Например, в случае взлома сайта и получения злоумышленниками доступа к вашему паролю они могут использовать этот же пароль для доступа к другим вашим учетным записям», - предупредил Шлосс. «Ты дал им ключи от своего замка в тот момент».
