Kulcs elvitelek
- A Google frissítette a Chrome webböngészőjébe és az Android operációs rendszerébe épített jelszókezelőt.
- A vállalat azt állítja, hogy az új funkciók közelebb hozzák a harmadik fél jelszókezelőihez.
- A biztonsági szakértők azonban óva intenek attól, hogy a hitelesítő adatokat webböngészőben tárolják.
Amint az a technológia esetében gyakran előfordul, a kényelem a biztonság rovására megy.
A Google hasznos funkciókkal egészítette ki a Chrome és az Android beépített jelszókezelőjét, amelyek valódi alternatívává teszik a dedikált jelszókezelőket. Ez azonban nem elég ahhoz, hogy meggyőzze a biztonsági szakértőket, hogy bízzák meg a böngészőkben a jelszavak tárolását.
"Nem rajongok a jelszavak webböngészőben való tárolásáért" - mondta Chris Hauk, a Pixel Privacy fogyasztói adatvédelmi bajnoka a Lifewire-nek e-mailben. "Ez azonban különösen igaz az olyan böngészőkre, mint a Chrome, amely a múltban számos biztonsági és adatvédelmi megsértést szenvedett el."
Rossz eszköz a munkához
A Lifewire-rel folytatott e-mail üzenetváltás során a Dahvid Schloss, az Echelon Risk + Cyber Offensive Security vezető, offenzív biztonságának vezetője elmondta, hogy a google jelszókezelő bevezetése egy nagyon szép, könnyen használható alkalmazást hoz létre a megosztáshoz. a felhasználó eszközei között. "De a nap végén az alkalmazás csak annyira biztonságos, mint amennyire a legkevésbé biztonságos eszköze használja."
Stephanie Benoit-Kurtz, a Phoenix Egyetem Információs Rendszerek és Technológiai Főiskolájának vezető oktatója egyetértett. Egy e-mailben elmondta a Lifewire-nek, hogy bár a böngészők hosszú utat tettek meg abban, hogy egyszerűsített élményt nyújtsanak a felhasználóknak a webhelyek bejelentkezési adatainak és jelszavainak tárolása során, a jelszavak tárolására való felhasználásuk csúszós pálya.
Benoit-Kurtz külön rámutatott két problémára a jelszavak böngészőkben való tárolásával kapcsolatban. Az első a titkosítás, mivel a webböngészők az eszköz konfigurációjától függenek a titkosítási beállítások tekintetében. Azt mondta, hogy az általános felhasználók nem teljesen értékelik a titkosítás fontosságát eszközeik védelmében.
"A második kihívás az, hogy ha egy eszközt a böngésző beállításaival ellopnak, vagy ha feltörés révén valaki más kezébe kerül, a rossz szereplő hozzáférhet a rendszerek összes bejelentkezési és jelszavához" - mondta Benoit-Kurtz.
Elismerte azt is, hogy bár a böngészők hosszú utat tettek meg a biztonság terén, az embereknek továbbra is lépést kell tartaniuk az összes javítással és a biztonságuk megőrzéséhez szükséges karbantartással. Még akkor is léteznek nulladik napi fenyegetések, amelyek még a teljesen frissített böngészőket is sebezhetővé tehetik.
Schloss elismerte, hogy bár még nem foglalkozott a Chrome frissített jelszókezelőjével, úgy tűnik, hogy ez nem egy kiegészítő modul a Chrome-hoz.
"Ez azt jelenti, hogy nagyon is lehetséges, hogy ez nem oldja meg a sima szöveges tárolás problémáját, amellyel a fenyegetés szereplői visszaéltek és visszaélnek" - magyarázta Schloss -, ami az összes jelszavának feltöréséhez vezet, ha egy fenyegetés szereplője már volt az eszközén."
… az alkalmazás csak annyira biztonságos, mint az azt használó legkevésbé biztonságos eszköz.
Hívjon szakértőt
Ahelyett, hogy böngészőket használnánk a hitelesítő adatok tárolására, szakértőink kifejezetten a jelszavak tárolására létrehozott speciális eszközök használatát javasolják.
"A biztonságosabb lehetőség érdekében értékelje a fejlettebb technológiát, például a jelszótárolókat a bejelentkezési adatok és jelszavak biztonsága érdekében" - javasolta Benoit-Kurtz. "Ezeket az eszközöket általában előfizetésként értékesítik, és titkosítást, többtényezős hitelesítést (MFA) és egyéb, a bejelentkezési adatok és jelszavak védelméhez szükséges technológiákat biztosítanak."
Hauk az 1Password jelszókezelőre támaszkodik, amely rámutat, hogy a legnépszerűbb platformokon és alkalmazásokban működik, és biztonságosan tárolja a hitelesítő adatokat egy jól titkosított adatbázisban.
"A jelszókezelők lehetővé teszik erős, összetett jelszavak létrehozását anélkül, hogy egy elefánt memóriája lenne" - mondta Schloss. jelszó."
Schloss a Keepert és a Last Pass-t használja otthoni és munkahelyi eszközeihez, de azt javasolja, hogy bár mindkettőnek megvannak a maga előnyei, a legtöbb embernek nem kell két jelszókezelőt használnia.
Azzal érvelt, hogy a legtöbb népszerű eszköz több eszközt is támogat, ami kényelmessé teszi a használatát. Míg sokan az Ön hitelesítő adatait harmadik féltől származó szerveren tárolják, az adatok végpontok között titkosítva vannak, ami azt jelenti, hogy jelszavai akkor is biztonságban vannak, ha a hackerek feltörik a jelszókezelő szervereit.
"Egyébként minden jelszókezelő jobb, mint a jelszókezelő hiánya" - tanácsolta Schloss. Rámutatott, hogy a jelszavak újrafelhasználása sokkal veszélyesebb, és szörnyű szokássá válik.
"Például abban az esetben, ha egy webhelyet feltörnek, és a fenyegetés szereplői hozzáférnek az Ön jelszavához, ugyanazt a jelszót használhatják a többi fiókhoz való hozzáféréshez" - figyelmeztetett Schloss. "Akkor átadtad nekik a kastélyod kulcsait."
