Ključni podaci za van
- Google je ažurirao upravitelja lozinkama ugrađenog u web preglednik Chrome i operativni sustav Android.
- Tvrtka tvrdi da je nove značajke približavaju upraviteljima zaporki trećih strana.
- Međutim, stručnjaci za sigurnost upozoravaju na pohranjivanje vjerodajnica unutar web preglednika.
Kao što je često slučaj s tehnologijom, pogodnost dolazi nauštrb sigurnosti.
Google je dodao korisne značajke ugrađenom upravitelju zaporki u Chromeu i Androidu koje ga čine pravom alternativom namjenskim upraviteljima zaporki. Međutim, to nije dovoljno da uvjeri stručnjake za sigurnost da preglednicima vjeruju da će pohraniti lozinke.
"Nisam ljubitelj pohranjivanja lozinki u bilo kojem web pregledniku," Chris Hauk, prvak privatnosti potrošača u Pixel Privacy, rekao je Lifewire putem e-pošte. "Međutim, to se posebno odnosi na preglednik poput Chromea, koji je pretrpio brojne povrede sigurnosti i privatnosti u prošlosti."
Pogrešan alat za posao
U razmjeni e-pošte s Lifewireom, Dahvid Schloss, glavni rukovoditelj, Offensive Security, u Echelon Risk + Cyber, rekao je da se čini da uvođenje Googleovog upravitelja lozinki stvara vrlo lijepu aplikaciju za dijeljenje jednostavnu za korištenje između korisničkih uređaja. "Ali na kraju dana, aplikacija je sigurna onoliko koliko je siguran njen najmanje siguran uređaj koji je koristi."
Stephanie Benoit-Kurtz, voditeljica Fakulteta za informacijske sustave i tehnologiju na Sveučilištu Phoenix, slaže se. U e-poruci je rekla Lifewireu da, iako su preglednici daleko dogurali u pružanju korisnicima pojednostavljenog iskustva pri pohranjivanju prijava i lozinki na web stranice, njihovo korištenje za pohranjivanje lozinki je sklizak teren.
Benoit-Kurtz posebno je istaknuo dva problema s pohranjivanjem lozinki u preglednicima. Prva je enkripcija, jer web-preglednici ovise o konfiguraciji uređaja za postavke enkripcije. Rekla je da opći korisnici ne shvaćaju u potpunosti važnost enkripcije u zaštiti svojih uređaja.
"Drugi izazov je da ako je uređaj s vašim postavkama preglednika ukraden ili padne u nečije ruke putem hakiranja, loš akter može imati pristup svim podacima za prijavu i lozinku za sustave", rekao je Benoit-Kurtz.
Također je priznala da, iako su preglednici daleko dogurali sa sigurnošću, ljudi i dalje moraju biti u toku sa svim zakrpama i potrebnim održavanjem kako bi bili sigurni. Čak i tada postoje prijetnje nultog dana koje čak i potpuno ažurirane preglednike mogu učiniti ranjivima.
Schloss je priznao da, iako još nije petljao s Chromeovim ažuriranim upraviteljem zaporki, čini se da to nije dodatni modul za Chrome.
"To znači da je vrlo moguće da ovo ne bi riješilo problem pohrane običnog teksta koji su akteri prijetnji zlorabili i zlorabe", objasnio je Schloss, "što dovodi do kršenja svih vaših lozinki ako prijetnja je već bila na vašem uređaju."
… aplikacija je sigurna onoliko koliko je siguran njen najmanje siguran uređaj koji je koristi.
Pozovite stručnjaka
Umjesto korištenja preglednika za pohranjivanje vjerodajnica, naši stručnjaci preporučuju korištenje specijaliziranih alata stvorenih izričito za pohranjivanje zaporki.
"Za sigurniju opciju, procijenite napredniju tehnologiju kao što su trezori zaporki kako biste zaštitili prijave i zaporke", predložio je Benoit-Kurtz. "Ovi se alati obično prodaju kao pretplata i pružaju enkripciju, višefaktorsku autentifikaciju (MFA) i druge tehnologije potrebne za zaštitu prijava i lozinki."
Hauk se oslanja na upravitelj lozinki 1Password, za koji ističe da radi na većini popularnih platformi i aplikacija i sigurno pohranjuje vjerodajnice u dobro šifriranu bazu podataka.
"Upravitelji zaporki omogućuju vam stvaranje jakih, složenih zaporki bez pamćenja slona," rekao je Schloss, "a većina njih pruža određenu razinu nadzora provale kako biste znali kada trebate promijeniti web-lokaciju lozinka."
Schloss koristi Keeper i Last Pass za svoje kućne i poslovne uređaje, ali sugerira da, iako oba imaju svoje prednosti, većina ljudi ne treba koristiti dva upravitelja lozinkama.
Tvrdio je da većina popularnih ima podršku za više uređaja što ih čini praktičnima za korištenje. Dok mnogi pohranjuju vaše vjerodajnice na poslužitelj treće strane, podaci su kriptirani od kraja do kraja, što znači da su vaše lozinke sigurne čak i ako hakeri provale u poslužitelje vašeg upravitelja lozinki.
"S obzirom na to, svaki upravitelj lozinki je bolji od nikakvog upravitelja lozinki", savjetuje Schloss. Istaknuo je da je ponovna uporaba lozinki puno opasnija i užasna praksa koja bi joj prešla u naviku.
"Na primjer, u slučaju da je stranica probijena i akteri prijetnje dobiju pristup vašoj lozinci, mogli bi upotrijebiti tu istu lozinku za pristup vašim drugim računima", upozorio je Schloss. "U tom trenutku si im dao ključeve svog dvorca."