Найти тему
856 подписчиков

Почему нельзя хранить свои пароли в Google Chrome

573 прочитали
Технологии
363,6K интересуются
Дроны и Дрон-индустрия
59,9K интересуются
AR и VR
156,1K интересуются
Социальные сети и мессенджеры
3K интересуются
Тайны связи
1,6K интересуются
NVIDIA Corporation
96,2K интересуются
3D-принтеры
147,4K интересуются
Технологии в медицине
56,8K интересуются
Программное Обеспечение: Разработка ПО и программирование
161,7K интересуются
Автоматизация
24,5K интересуются
Технологии в финансах
65K интересуются
Мультимедийные проигрыватели
91,1K интересуются
Бытовая техника
28,1K интересуются
Технологии в СМИ
35,3K интересуются
Умные часы
353,7K интересуются
Sony
151,5K интересуются
Мониторы
253,9K интересуются
Нейросети и ИИ
80,8K интересуются
Технологии в социальной сфере
36,8K интересуются
Microsoft
32,7K интересуются

Существуют серьезные риски для конфиденциальности.

Существуют серьезные риски для конфиденциальности. Что говорят эксперты по конфиденциальности об использовании Google Chrome и других браузеров для управления паролями? У Нила Дж.

Что говорят эксперты по конфиденциальности об использовании Google Chrome и других браузеров для управления паролями? У Нила Дж. Рубенкинга с сайта PCMag есть ответы.

Программы управления паролями существуют с 90-х годов, а основные браузеры добавили управление паролями в качестве встроенной функции в начале 2000-х. С тех пор PCMag рекомендует удалять ваши пароли из небезопасного хранилища браузера в надлежащий, хорошо защищенный менеджер паролей. Но мы можем вспомнить менеджеры паролей, которые извлекали пароли из вашего браузера, удаляли их из браузера и отключали дальнейший захват паролей на основе браузера. Это определенно звучит небезопасно!

К счастью, браузеры добились прогресса и больше не оставляют ваши пароли столь открытыми для внешних манипуляций. Например, если вы хотите переключиться на специальный менеджер паролей, вам, вероятно, придется активно экспортировать пароли из браузера и импортировать их в свой новый продукт.

Но достигли ли браузеры достаточного прогресса, чтобы мы могли рекомендовать хранить в них ваши пароли? В частности, следует ли вам использовать Google Password Manager, который удобно встроен прямо в Chrome? По мнению экспертов, ответом остается решительное "нет".

Даже Специализированные менеджеры паролей могут допустить утечку

Для компании, построенной на управлении паролями, доверие - это все. Серьезные претенденты используют методы с нулевым знанием для защиты ваших зашифрованных данных, чтобы никто - ни компания, предоставляющая пароли, ни правительство, никто — не мог узнать ваш мастер-пароль или расшифровать ваши данные.

Тем не менее, ошибки в реализации могут поставить под угрозу безопасность данных. В серии разоблачений, начавшихся в августе прошлого года, люди узнали, что хакеры скомпрометировали ключевой компьютер сотрудника LastPass, чтобы украсть неизвестное количество зашифрованных хранилищ данных. Хуже того, некоторые важные элементы данных, такие как домены для входа в систему, не были зашифрованы. Сейчас трудно доверять LastPass.

KeePass - любимый менеджер паролей технарей, в немалой степени благодаря его бесконечным возможностям настройки. Однако та же самая способность к кастомизации была раскрыта как своего рода ахиллесова пята. Любой, кто получит доступ к вашему компьютеру, либо с помощью трояна удаленного доступа, либо в ваше отсутствие, может украсть все ваши пароли Keepass. Это простой вопрос использования блокнота для создания действия, которое экспортирует пароли в обычный текст, а затем отправляет полученные данные в drop в Интернете. По общему признанию, получить необходимый доступ может быть непросто, но эксплойт возможен . Или, скорее, было возможно. Последнее обновление KeePass, 2.53.1, удалило возможность экспорта паролей без необходимости ввода мастер-пароля.

Как включить или отключить Google Password Manager

Прежде чем перейти к вопросу о том, следует ли вам использовать Google Password Manager, давайте рассмотрим, как вы можете отключить его (или запустить, если это ваш выбор). Во-первых, убедитесь, что вы включили синхронизацию во всех экземплярах Chrome, где вы хотите поделиться паролями. Щелкните меню с тремя точками в правом верхнем углу окна Chrome, затем выберите Настройки. Изначально следует выбрать верхний пункт в меню слева, озаглавленный "Вы и Google"; если нет, щелкните по нему. В появившемся диалоговом окне вы можете включить или выключить синхронизацию.

Существуют серьезные риски для конфиденциальности. Что говорят эксперты по конфиденциальности об использовании Google Chrome и других браузеров для управления паролями? У Нила Дж.-2

Теперь нажмите Автозаполнение, прямо под Вы и Google, и выберите Менеджер паролей. Если вы хотите использовать Google Password Manager, включите пункты, предлагаемые для сохранения паролей и автоматического входа в систему. Если нет, выключите их.

Нет, мы не рекомендуем это с точки зрения безопасности; но, да, мы знаем, что некоторые люди готовы пожертвовать ею ради удобства.

Что говорят эксперты о менеджерах паролей браузеров

Чтобы дополнить свои собственные знания и опыт, обратимся к экспертам из нескольких известных коммерческих компаний по управлению паролями, включая Крейга Лури, соучредителя и технического директора Keeper; техническому директору NordPass Томаса Смалакиса; и Майкла Крэнделла, генерального директора Bitwarden.


Менеджеры паролей Браузера Удобны, Но опасны


Смалакис выступил с предостережением против использования менеджера паролей браузера, заявив: “Несмотря на постоянные предупреждения экспертов по кибербезопасности об уязвимостях менеджеров паролей браузера, пользователи Интернета продолжают попадать в ловушку. Но это удобно!".

Шифрование с нулевым разглашением - это причина, по которой специальные менеджеры паролей могут обеспечить безопасность ваших данных, никогда не имея доступа к вашему мастер-паролю. “Менеджер паролей Google не использует шифрование с нулевым разглашением”, - заявил Лури. “По сути, Google может видеть все, что вы сохраняете. У них есть ”необязательная" функция для включения шифрования паролей на устройстве, но даже если она включена, ключ для расшифровки информации хранится на устройстве".

Смалакис согласился с тем, что данные, хранящиеся в браузере, защищены не так, как данные менеджера паролей. “Хакеры используют методы социальной инженерии, чтобы обманом заставить пользователей Интернета загружать новые расширения, которые могут легко извлекать данные, хранящиеся в браузере”, - отметил он. Далее он сказал: “Хотя в облачном хранении паролей нет ничего плохого, компания должна убедиться, что данные пользователей зашифрованы, прежде чем они будут сохранены в облаке. Поэтому пользователям Интернета следует выбирать поставщика услуг, который гарантирует сквозное шифрование”.

Крэнделл бросил Google кость, сказав: “Любой менеджер паролей лучше, чем никакого менеджера паролей”, но далее предупредил: “Ограничение менеджеров паролей на основе браузера заключается в том, что они работают только в пределах огороженного сада. Если вам когда-нибудь понадобится работать в другом браузере или в какой-либо среде, недоступной этому браузеру, вам не повезло.”



Менеджеры паролей Обладают большим количеством функций


Крэнделл также подчеркнул отсутствие важных функций в системах паролей на основе браузера. Он отметил, что в таких системах отсутствует “безопасный обмен паролями с коллегами и семьей, поддержка биометрического входа в систему и ключей безопасности, отчеты о том, являются ли ваши пароли слабыми, используются повторно или были взломаны, интеграция с рабочими системами, такими как SSO, и многие другие функции”.

Смалакис сказал: “Многие браузеры не требуют подтверждения мастер-пароля или многофакторной аутентификации (MFA)”. Google разрешает MFA, но не требует этого. И, действительно, мастер-пароля нет. Если вы оставите свой рабочий стол с включенным Chrome, любой, у кого есть доступ, сможет войти в ваши учетные записи. То же самое, если вы позволяете кому-то другому пользоваться вашим телефоном.

Браузеры блокируют вас в себе


“Будьте осторожны, запираясь в экосистеме любой крупной компании”, - предупредил Крэнделл. “Важно иметь свободу работы на всех платформах и средах, будь то браузеры, мобильные или настольные операционные системы”.

Смалакис указал на опасность подключенных учетных записей. “В сценарии ... использующем браузер Chrome, его безопасность зависит от того, насколько защищена подключенная учетная запись Gmail”, - сказал он. “Если эта учетная запись Gmail будет взломана, хакер сможет без особых усилий получить доступ ко всем паролям других учетных записей, сохраненным в браузере”. В аналогичном ключе Лури отметил, что “Пользователь должен полностью доверять Google в защите своей информации”. Если ваша учетная запись Google взломана, то взломаны и все ваши пароли.

Браузер предназначен для просмотра веб-страниц; управление паролями - это запоздалая мысль. “Специализированные менеджеры паролей прилагают все свои усилия для разработки безопасного менеджера паролей и проходят независимые аудиты, чтобы обеспечить эту безопасность”, - заключил Смалакис. Крэнделл высказал аналогичное мнение, сказав: “Ведущие менеджеры паролей на 100% сосредоточены на обеспечении как оптимальной безопасности, так и множества вариантов использования паролей, поэтому они более многофункциональны”.

Итог: Используйте настоящий менеджер паролей


Google Password Manager не использует методы шифрования с нулевым разглашением, которые защищают данные пароля от всех, включая саму компанию. Он даже не использует мастер-пароль. Специальные инструменты для создания паролей предлагают множество функций, которых вы не получаете со встроенным браузером. И вы можете использовать систему паролей Google только в Chrome (или, в некоторой степени, в Android). Это лишь несколько причин, по которым вам следует скачать настоящий менеджер паролей вместо того, чтобы полагаться на Chrome.

Ужасно удобно, что Google Password Manager поставляется в качестве бесплатной функции бесплатного браузера. Однако это недостаточно веская причина для того, чтобы соглашаться на ограниченную безопасность ваших паролей.

1