Эксперты утверждают, что использование Google Chrome (или любого другого браузера) для управления паролями — не лучшая идея. Вот почему.
Нил Дж. Рубенкинг
Программы для управления паролями существуют с 90-х годов, а основные браузеры добавили функцию управления паролями в начале 2000-х. С тех пор рекомендуют перенести пароли из небезопасного хранилища браузера в надёжный и хорошо защищённый менеджер паролей. Это позволяет избавиться от паролей в браузере и предотвратить их захват.
К счастью, браузеры стали безопаснее и больше не оставляют пароли открытыми для внешних манипуляций. Если вы хотите перейти на другой менеджер паролей, вам придётся экспортировать пароли из браузера и импортировать их в новый продукт.
Но достаточно ли улучшились браузеры, чтобы мы могли рекомендовать хранить в них пароли? Стоит ли использовать Google Password Manager, который удобно встроен прямо в Chrome? По мнению экспертов, ответ остаётся ошеломляюще «нет».
Даже лучшие менеджеры паролей могут быть уязвимы
Для компании, которая занимается управлением паролями, доверие — это всё. Серьёзные игроки используют методы нулевого знания, чтобы защитить ваши зашифрованные данные. Никто — ни компания по производству паролей, ни правительство — не должен узнать ваш главный пароль или расшифровать ваши данные.
Однако ошибки в реализации могут поставить под угрозу безопасность пароля. В серии откровений, которые начались в августе прошлого года, мы узнали, что хакеры смогли получить доступ к ключевому компьютеру сотрудника LastPass и украсть неизвестное количество зашифрованных хранилищ данных. Хуже того, некоторые важные данные, такие как домены для входа в систему, не были зашифрованы. Теперь трудно доверять LastPass.
KeePass — любимый менеджер паролей технических специалистов, во многом благодаря его бесконечным возможностям настройки. Однако эта же сила настройки была открыта как своего рода ахиллесова пята. Любой, кто получает доступ к вашему компьютеру — либо с помощью трояна удалённого доступа, либо сидя в ваше отсутствие, — может украсть все ваши пароли KeePass. Это просто вопрос использования Блокнота для создания действия, которое экспортирует пароли в обычный текст, а затем отправляет полученные данные в Интернет. Признаться, получить необходимый доступ может быть сложно, но эксплойт возможен. Вернее, это было возможно. Последнее обновление KeePass 2.53.1 удалило возможность экспорта паролей без необходимости ввода главного пароля.
Как включить или отключить Google Password Manager
Прежде чем мы рассмотрим вопрос о том, стоит ли использовать Google Password Manager, давайте разберёмся, как вы можете его отключить (или включить, если это ваш выбор). Во-первых, убедитесь, что вы включили синхронизацию во всех экземплярах Chrome, где вы хотите поделиться паролями. Нажмите на меню с тремя точками в правом верхнем углу окна Chrome, а затем выберите «Настройки». Верхний пункт в меню левого бокового меню под названием «Вы и Google» должен быть выбран изначально; если нет, то нажмите на него. В появившемся диалоговом окне вы можете включить или выключить синхронизацию.
Использование Google Password Manager: за и против
Чтобы настроить Google Password Manager, следуйте инструкциям:
1. Нажмите на «Автозаполнение» под пунктами «Вы» и «Google».
2. Затем выберите «Менеджер паролей».
3. Если вы хотите использовать Google Password Manager, активируйте параметры «Предложение по сохранению паролей» и «Автоматический вход». Если нет, отключите их.
Для получения более подробной информации вы можете ознакомиться с материалом «Как освоить Google Password Manager». Однако мы не рекомендуем его с точки зрения безопасности. Некоторые люди могут пожертвовать безопасностью ради удобства.
Мнение экспертов о менеджерах паролей для браузера
Чтобы расширить свои знания и опыт в этой области, я проследил за обращением к экспертам из нескольких известных коммерческих компаний, занимающихся менеджерами паролей. Среди них были Крейг Лурей, соучредитель и технический директор Keeper, Томас Смалакис, технический директор NordPass, и Майкл Крэнделл, генеральный директор Bitwarden.
Менеджеры паролей для браузера удобны, но опасны.
Томас Смалакис предостерег от использования менеджера паролей браузера, отметив, что, несмотря на постоянные предупреждения экспертов по кибербезопасности об уязвимостях таких менеджеров, интернет-пользователи продолжают рисковать.
Лури согласился с этим, указав на длинный список причин, по которым менеджеры паролей для браузера небезопасны. Он отметил, что специализированные менеджеры паролей могут обеспечить безопасность ваших данных, не имея доступа к вашему мастер-паролю, благодаря шифрованию с нулевым знанием. Однако Google Password Manager не использует такое шифрование, и Google может видеть все, что вы сохраняете.
Смалакис также подчеркнул, что данные, хранящиеся в браузере, не защищены так надёжно, как данные менеджера паролей, и хакеры могут использовать методы социальной инженерии для обмана пользователей и загрузки новых расширений, которые могут легко извлекать данные из браузера. Поэтому важно выбрать поставщика услуг, который гарантирует сквозное шифрование.
Крэнделл и Лурей о безопасности паролей в браузере Chrome
Крэнделл заявил, что любой менеджер паролей лучше, чем его отсутствие. Однако он предупредил, что у браузерных менеджеров паролей есть ограничения: они работают только в пределах одного браузера. Если вам нужно будет работать в другом браузере или в среде, где этот браузер не поддерживается, вам придётся столкнуться с проблемами.
Лурей предложил список способов, которыми встроенный менеджер паролей Chrome уступает специализированным программам управления паролями. Во-первых, он специфичен для Chrome: если вы используете другой браузер, он вам не подойдёт. Во-вторых, нет возможности для безопасного обмена паролями с коллегами или семьёй. Также отсутствует поддержка биометрических ключей входа в систему и безопасности. Браузер хранит только пароли, но не личные данные, такие как адреса, номера счетов и кредитных карт.
Крэнделл отметил, что в системах паролей на основе браузера отсутствуют важные функции. Среди них — безопасный обмен паролями с коллегами и семьёй, поддержка биометрических ключей входа в систему и безопасности, отчёты о том, являются ли ваши пароли слабыми, повторно использовались или были взломаны, интеграция с рабочими системами, такими как SSO, и многие другие функции.
Смалакис указал на опасность подключённых учётных записей. В сценарии использования браузера Chrome его безопасность зависит от безопасности подключённой учётной записи Gmail. Если эта учётная запись будет скомпрометирована, хакер сможет легко получить доступ ко всем сохранённым в браузере паролям других учётных записей.
В аналогичном духе Лурей отметил, что пользователь должен полностью доверять Google для защиты своей информации. Если ваш аккаунт Google взломан, то и все ваши пароли.
Браузер предназначен для просмотра, а управление паролями — второстепенная мысль. Выделенные менеджеры паролей прилагают все усилия для разработки безопасного менеджера паролей и проходят независимые аудиты, чтобы обеспечить эту безопасность.
Крэнделл предложил использовать выделенные менеджеры паролей, которые сосредоточены на обеспечении оптимальной безопасности и многих сценариях использования паролей.
Итог: установите реальный менеджер паролей
Google Password Manager не использует методы шифрования с нулевым знанием, которые защищают данные паролей от всех, включая компанию по управлению паролями. Он даже не использует мастер-пароль.
Выделенные инструменты паролей предлагают множество функций, которые вы не получаете со встроенным браузером. Система паролей Google может использоваться только в Chrome (или, в некоторой степени, в Android). Это лишь некоторые из причин, по которым вам следует использовать настоящий менеджер паролей, а не полагаться только на Chrome.
Хотя удобно, что Google Password Manager поставляется как бесплатная функция бесплатного браузера, это не является достаточной причиной для принятия ограниченной безопасности ваших паролей. Мы рекомендуем использовать один из множества бесплатных менеджеров паролей, которые предлагают серьёзную защиту ваших паролей по той же цене — 0 рублей.
