В чем опасность избегания мастер-пароля? Какие есть подводные камни? Почему надо обязательно устанавливать мастер-пароль на старых телефонах? Сейчас во всем разберемся.
На яндекс браузер я перешел сравнительно недавно, и первое что мне бросилось в глаза это то, с какой настойчивостью яндекс предлагает установить мастер-пароль. В чем же причина?
Для начала надо понять как вообще хранятся наши пароли на устройствах. И здесь все на так сложно. Пароли браузера хранятся в небольшом файлике в в вашей операционной системе. Файлик этот зашифрован средствами ОС. При каждом обращении любого приложения к этому файлику операционка запрашивает у вас подтверждение что вы это вы и дает этому приложению доступ.
В Windows всплывает окошко где предлагается ввести логин и пароль от вашей учетки, либо пин код. А в телефоне уже зависит от ваших настроек, это может быть отпечаток пальца, скан лица, графический ключ или тот же самый пароль.
Ну если всё и так защищено, то что же может пойти не так?
- Злоумышленники из вашего окружения
Представим ситуацию что вы, сидя за своим ПК, открыли браузер и зашли на какой-то сайт. Браузер запросил у вас права на доступ к паролям, вы спокойно ввели свой логин и пароль от вашей учетки ОС, благополучно зашли на свой любимый сайт и отошли по своим делам. Вот собственно и всё, теперь любой человек может сесть за ваш ПК и посмотреть в браузере все ваши сохраненные пароли, ведь браузер запрашивает права доступа только один раз. Та же история с телефонами.
- Вредоносное ПО
Помимо живых злоумышленников вы можете поймать какой-нибудь вирус который запросит доступ к к вашему файлу паролей под видом доступа к какому нибудь важной функции. Дальше схема та же, вы подтверждаете что вы это вы и вирусная программа получает доступ к вашей базе паролей.
- Синхронизация паролей между вашими устройствами
Здесь все просто, при синхронизации паролей между вашими устройствами файлик с паролями браузера передается в открытом виде. Конечно передача происходит по зашифрованному каналу, но на вашей стороне и на стороне яндекса все пароли будут открытыми. И если за свою сторону я могу полностью ручаться, то что там происходит на стороне яндекса неизвестно, особенно учитывая бесконечный поток новостей о сливах личных данных. Возможно сервер яндекса уже взломан и все пароли читает какой нибудь троян, а может и просто какой-нибудь недобросовестный сотрудник собирает базу для дальнейшей продажи в даркнете.
Уязвимости операционки
Если на своем ПК я регулярно устанавливаю все обновления которые закрывают дыры в системе, то вот на своем старичке Redmi Note 8 Pro выпуска 2019 года я этого сделать не могу. Последние обновления безопасности приходили на него в 2021м году и о том сколько с этого момента появилось новых уязвимостей лучше даже не думать.
Ну вроде все, теперь давайте уже посмотрим как же этот самый волшебный мастер-пароль поможет нам защититься.
Преимущества использования мастер-пароля
Теперь пройдемся по уже озвученным проблемам и посмотрим как изменится ситуация при использовании мастер-пароля.
- От злоумышленников из вашего окружения
Операционная система обычно запрашивает права для приложения всего один раз и дальше пароли становятся открытыми до тех пор пока вы не закроете браузер, а при установке мастер-пароля вы может контролировать через какие промежутки времени или после каких событий нужно заново требовать вашего подтверждения.
- От вредоносного ПО
С вредоносным ПО все еще проще, даже если вы случайно предоставите трояну авторизационные данные от вашего профиля ОС, то к файлу паролей он доступ получить не сможет, ведь теперь он расшифровать не средствами ОС, а мастер-паролем браузера.
- От перехвата при синхронизация паролей между вашими устройствами
После установки мастер-пароля база передается между вашими устройствами и серверами яндекса в зашифрованном виде. Больше не надо беспокоиться о взломанных серверах и недобросовестных сотрудниках. Ваш файл с паролями можете расшифровать только вы.
- От уязвимостей операционок
Здесь та же история что с вредоносным ПО. Какая бы дырявой ни была ваша операционка файл с паролями зашифрован средствами браузера. И даже если все приложения сразу получат авторизационные данные вашего профиля в ОС, то прочитать файл с паролями браузера они не смогут.
Недостатки мастер-пароля
Повышение безопасности неизбежно влечет за собой некоторые неудобства и самый главный конечно это забытый мастер-пароль. Здесь к сожалению все плохо, забыли мастер-пароль - с сохраненными паролями можно попрощаться. Яндекс конечно предлагает вариант восстановления мастер-пароля, но по моему мнению это уже здоровенная дыра в безопасности и так делать я бы не рекомендовал.
Итоги
Использовать мастер-пароль или нет это конечно личный выбор каждого, но я обеими руками за безопасность. Мастер-пароль действительно в разы снижает вероятность не только слива наших личных данных, но и позволяет избежать финансовых потерь.
Не забываем ставить лайк и подписываться на канал чтобы ничего не пропустить 👍