Что говорят эксперты по конфиденциальности об использовании Google Chrome и других браузеров для управления паролями? Нил Дж. Рубенкинг(Откроется в новой вкладке) с родственного сайта -, у PCMag есть ответы.
Программы управления паролями(Откроется в новой вкладке) существуют с 90-х годов, и основные браузеры(Откроется в новой вкладке) добавлено управление паролями в качестве встроенной функции в начале 2000-х. С тех пор PCMag советует переносить ваши пароли из небезопасного хранилища браузера в надлежащий, хорошо защищенный менеджер паролей. Тогда мы могли указать на менеджеры паролей, которые извлекали пароли из вашего браузера, удаляли их из браузера и отключали дальнейший захват паролей на основе браузера. Это точно не звучит безопасно!
Лучшие менеджеры паролей для всех ваших онлайн-аккаунтов
К счастью, браузеры добились прогресса и больше не оставляют ваши пароли такими открытыми для внешних манипуляций. Если вы хотите переключиться на специальный менеджер паролей(Откроется в новой вкладке)например, вам, вероятно, придется активно экспортировать пароли из браузера и импортировать их в новый продукт.
Но достаточно ли продвинулись браузеры, чтобы мы могли рекомендовать хранить в них ваши пароли? В частности, следует ли вам использовать Google Password Manager, который удобно встроен прямо в Chrome? По мнению экспертов, ответ остается решительным «нет».
Даже специализированные менеджеры паролей могут утечь
Для компании, построенной на управлении паролями, доверие — это все. Серьезные претенденты используют методы с нулевым разглашением для защиты ваших зашифрованных данных, чтобы никто — ни компания-производитель паролей, ни правительство, никто — не мог узнать ваш мастер-пароль.(Откроется в новой вкладке) или расшифровать ваши данные.
Тем не менее, ошибки в реализации могут поставить под угрозу безопасность пароля. Из серии разоблачений, начиная с августа прошлого года, мы узнали, что хакеры взломали ключевой компьютер сотрудника LastPass.(Откроется в новой вкладке) украсть неизвестное количество зашифрованных хранилищ данных. Хуже того, некоторые важные элементы данных, такие как домены входа, не были зашифрованы. Трудно доверять LastPass(Откроется в новой вкладке) сейчас.
KeePass(Откроется в новой вкладке) является любимым менеджером паролей технарей, в немалой степени из-за его бесконечных возможностей для настройки. Однако та же самая сила настройки оказалась своего рода ахиллесовой пятой. Любой, кто получает доступ к вашему компьютеру с помощью трояна удаленного доступа(Откроется в новой вкладке) или, присев в ваше отсутствие, может украсть все ваши пароли Keepass(Откроется в новой вкладке). С помощью Блокнота очень просто создать действие, которое экспортирует пароли в обычный текст, а затем отправляет полученные данные в папку в Интернете. По общему признанию, получить требуемый доступ может быть сложно, но эксплойт возможен(Открывается в новом окне)(Откроется в новой вкладке). Или скорее, был возможный. В последнем обновлении KeePass 2.53.1 удалена возможность экспорта паролей без ввода мастер-пароля.
Как включить или отключить Google Password Manager
Прежде чем перейти к тому, следует ли вам использовать Google Password Manager, давайте рассмотрим, как вы можете его закрыть (или запустить, если это ваш выбор). Во-первых, убедитесь, что вы включили синхронизацию во всех экземплярах Chrome, где вы хотите поделиться паролями. Нажмите меню из трех точек в правом верхнем углу окна Chrome, затем нажмите «Настройки». Первоначально должен быть выбран верхний пункт меню на левой панели под названием «Вы и Google»; если нет, щелкните по нему. В появившемся диалоговом окне вы можете включить или выключить синхронизацию.
Кредит: Google
Теперь нажмите «Автозаполнение» чуть ниже «Вы и Google» и нажмите «Менеджер паролей». Если вы хотите использовать Google Password Manager, включите пункты «Предлагать сохранение паролей» и «Автоматический вход». Если нет, выключите их.
Для получения дополнительной информации вы можете прочитать Как освоить Google Password Manager(Откроется в новой вкладке). Нет, мы не рекомендуем это с точки зрения безопасности; но да, мы знаем, что некоторые люди готовы пожертвовать безопасностью ради удобства.
Что говорят эксперты о менеджерах паролей браузера
Чтобы дополнить свои знания и опыт, я обратился к экспертам из нескольких известных коммерческих компаний по управлению паролями, в том числе Крейгу Лури, соучредителю и техническому директору Keeper.(Откроется в новой вкладке); НордПасс(Откроется в новой вкладке) технический директор Томас Смалакис; и Майкл Крэнделл, генеральный директор Bitwarden(Откроется в новой вкладке).
Менеджеры паролей браузера удобны, но опасны
Смалакис выступил с предупреждением против использования диспетчера паролей браузера, заявив: «Несмотря на постоянные предупреждения экспертов по кибербезопасности об уязвимостях менеджеров паролей браузера, интернет-пользователи продолжают попадать в «Но ведь это удобно!» ловушка.” Лурей согласился, отметив, что недавняя запись в блоге Keeper(открывается в новом окне)(Откроется в новой вкладке) пробежался по длинному списку причин, по которым менеджеры паролей браузера небезопасны.
Шифрование с нулевым разглашением — это причина, по которой специальные менеджеры паролей могут обеспечить безопасность ваших данных, даже не имея доступа к вашему мастер-паролю. «Диспетчер паролей Google не использует шифрование с нулевым разглашением, — заявил Лурей. «По сути, Google может видеть все, что вы сохраняете. У них есть «дополнительная» функция для включения шифрования паролей на устройстве, но даже если она включена, ключ для расшифровки информации хранится на устройстве».
Смалакис согласился с тем, что данные, хранящиеся в браузере, не защищены так, как данные менеджера паролей. «Хакеры используют методы социальной инженерии, чтобы заставить интернет-пользователей загружать новые расширения, которые могут легко извлекать данные, хранящиеся в браузере», — отметил он. Далее он сказал: «Хотя в облачном хранилище паролей нет ничего плохого, компания должна убедиться, что данные пользователей зашифрованы до того, как они будут сохранены в облаке. Поэтому интернет-пользователи должны выбирать поставщика услуг, который гарантирует сквозное шифрование».
Крэнделл обрушился на Google, заявив: «Любой менеджер паролей лучше, чем отсутствие менеджера паролей», но продолжил: «Ограничение менеджеров паролей на основе браузера заключается в том, что они работают только в пределах огороженного сада. Если вам когда-нибудь понадобится работать в другом браузере или в какой-либо среде, где этот браузер не работает, вам не повезло».
Менеджеры паролей имеют больше возможностей
Лурей предложил подробный список простых причин, по которым встроенный менеджер паролей Chrome не соответствует стандартам специализированных программ управления паролями. Во-первых, это специфично для Chrome; если вы используете другой браузер, вы в ручье. Нет возможности ни для безопасного обмена паролями, ни для создания цифрового наследника(Откроется в новой вкладке) для вашей коллекции паролей. Браузер хранит только пароли, а не личные данные, такие как адреса, номера счетов и кредитные карты.
Крэнделл также подчеркнул отсутствие важных функций в системах паролей на основе браузера. Он отметил, что в таких системах отсутствует «безопасный обмен паролями с коллегами и семьей, поддержка биометрического входа в систему и ключей безопасности, отчеты о том, являются ли ваши пароли слабыми, повторно используемыми или взломанными, интеграции с такими системами на работе, как SSO, и многими другими. функции.”
Смалакис сказал: «Многие браузеры не требуют мастер-пароля или многофакторной аутентификации (MFA).(Откроется в новой вкладке) одобрение.” Google разрешает MFA, но не требует этого. И действительно, мастер-пароля нет. Если вы оставите свой рабочий стол с включенным Chrome, любой, у кого есть доступ, сможет войти в ваши учетные записи. То же самое верно, если вы позволяете кому-то другому пользоваться вашим телефоном.
Браузеры блокируют вас
«Будьте осторожны, не запирайтесь в огороженном саду какой-либо крупной компании, — предупредил Крэнделл. «Важно иметь свободу работы на всех платформах и средах, будь то браузеры, мобильные или настольные операционные системы».
Смалакис указал на опасность подключенных аккаунтов. «В сценарии… с использованием браузера Chrome его безопасность зависит от того, насколько защищена подключенная учетная запись Gmail», — сказал он. «Если эта учетная запись Gmail будет скомпрометирована, хакер без особых усилий сможет получить доступ ко всем паролям других учетных записей, сохраненным в браузере». В том же духе Лурей отметил, что «пользователь должен полностью доверять Google для защиты своей информации». Если ваша учетная запись Google взломана, взломаны и все ваши пароли.
Браузер предназначен для просмотра; управление паролями является запоздалой мыслью. «Специализированные менеджеры паролей прилагают все усилия для разработки безопасного менеджера паролей и проходят независимые аудиты, чтобы обеспечить эту безопасность», — заключил Смалакис. Крэнделл высказал аналогичное мнение, заявив: «Ведущие менеджеры паролей на 100% сосредотачиваются на обеспечении как оптимальной безопасности, так и множества вариантов использования паролей, поэтому они более многофункциональны».
Итог, получите настоящий менеджер паролей
Google Password Manager не использует методы шифрования с нулевым разглашением, которые защищают данные паролей от всех, включая компанию, управляющую паролями. Он даже не использует мастер-пароль. Специальные инструменты для работы с паролями предлагают множество функций, которых нет во встроенном браузере. И вы можете использовать систему паролей Google только в Chrome (или, в некоторой степени, в Android). Это лишь некоторые из причин, по которым вам следует приобрести настоящий менеджер паролей, а не полагаться на Chrome.
Ужасно удобно, что Google Password Manager поставляется как бесплатная функция бесплатного браузера. Однако это не достаточно веская причина, чтобы соглашаться на ограниченную безопасность ваших паролей. Мы оценили множество бесплатных менеджеров паролей(Откроется в новой вкладке) которые предлагают серьезную защиту ваших паролей по той же цене ноль долларов — используйте вместо этого один из них.
