Miksi sinun ei pitäisi käyttää Chromen päivitettyä salasananhallintaa

July 07, 2022
SisäänUutiset Internet Turvallisuus

Google on päivittänyt Chrome-selaimeen ja Android-käyttöjärjestelmään sisäänrakennetun salasananhallinnan.
Yhtiö väittää, että uudet ominaisuudet tuovat sen lähemmäksi kolmansien osapuolien salasanojen hallintaa.
Tietoturvaasiantuntijat kuitenkin varoittavat valtuustietojen tallentamisesta verkkoselaimen sisään.

Kirjautumissivu, jonka ympärillä oleviin tarralapuihin on kirjoitettu salasanat. — 5./15 West / Getty Images

Kuten usein tekniikan kanssa, mukavuus tulee turvallisuuden kustannuksella.

Googlella on lisätty hyödyllisiä ominaisuuksia Chromen ja Androidin sisäänrakennettuun salasanojen hallintaan, mikä tekee siitä todellisen vaihtoehdon omistetuille salasanojen hallintaohjelmille. Tämä ei kuitenkaan riitä vakuuttamaan tietoturvaasiantuntijat luottamaan selaimiin salasanojen tallentamiseen.

"En pidä salasanojen tallentamisesta mihinkään verkkoselaimeen," Chris Hauk, kuluttajansuojan mestari osoitteessa Pixelin tietosuoja, kertoi Lifewirelle sähköpostitse. "Tämä pätee kuitenkin erityisesti Chromen kaltaiseen selaimeen, joka on kärsinyt useista tietoturva- ja tietosuojaloukkauksista aiemmin."

Väärä työkalu työhön

Sähköpostinvaihdossa Lifewiren kanssa Dahvid Schloss, Managing Lead, Offensive Security, osoitteessa Echelon Risk + Cyber, sanoi Googlen salasananhallinnan käyttöönotto näyttää luovan erittäin mukavan helppokäyttöisen sovelluksen jaettavaksi käyttäjän laitteiden välillä. "Mutta loppujen lopuksi sovellus on vain niin turvallinen kuin sen vähiten suojattu laite, joka käyttää sitä."

Stephanie Benoit-Kurtz, Tietojärjestelmien ja teknologian korkeakoulun johtava tiedekunta Phoenixin yliopisto, sovittu. Sähköpostissa hän kertoi Lifewirelle, että vaikka selaimet ovat edenneet pitkälle tarjotakseen käyttäjille a Yksinkertaistettu kokemus tallennettaessa kirjautumistunnuksia ja salasanoja verkkosivustoille, niiden käyttö salasanojen tallentamiseen on a liukas rinne.

Benoit-Kurtz huomautti erityisesti kaksi ongelmaa salasanojen tallentamisessa selaimiin. Ensimmäinen on salaus, koska verkkoselaimet riippuvat laitteen salausasetuksista. Hän sanoi, että tavalliset käyttäjät eivät täysin ymmärrä salauksen merkitystä laitteidensa suojaamisessa.

"Toinen haaste on se, jos selainasetuksineen varustettu laite varastetaan tai putoaa jonkun muun omaan Hakkeroinnin kautta huonolla toimijalla voi olla pääsy kaikkiin järjestelmien kirjautumis- ja salasanatietoihin", sanoi Benoit-Kurtz.

Hän myönsi myös, että vaikka selaimet ovat edenneet pitkälle tietoturvan suhteen, ihmisten on silti pysyttävä ajan tasalla kaikista korjaustiedostoista ja tarvittavasta ylläpidosta niiden turvaamiseksi. Silloinkin on olemassa nollapäivän uhkia, jotka voivat tehdä jopa täysin päivitetyistä selaimista haavoittuvia.

Schloss myönsi, että vaikka hän ei ole vielä käsitellyt Chromen päivitettyä salasananhallintaa, se ei näytä olevan Chromen lisäosa.

"Tämä tarkoittaa, että on hyvin mahdollista, että tämä ei ratkaise tilannetta Pelkän tekstin tallennusongelma jota uhkaavat toimijat ovat käyttäneet ja käyttävät väärin", selitti Schloss, "johtaen siihen, että kaikki salasanasi on rikottu, jos uhkatekijä oli jo laitteessasi."

... sovellus on vain niin turvallinen kuin sen vähiten suojattu laite, joka käyttää sitä.

Soita asiantuntijalle

Sen sijaan, että käyttäisimme selaimia tunnistetietojen tallentamiseen, asiantuntijamme suosittelevat käyttämään salasanojen tallentamiseen tarkoitettuja erikoistyökaluja.

"Turvallisemman vaihtoehdon saamiseksi arvioi kehittyneempää tekniikkaa, kuten salasanavarastoja, jotta käyttäjätunnukset ja salasanat pysyvät turvassa", Benoit-Kurtz ehdotti. "Nämä työkalut myydään yleensä tilauksena, ja ne tarjoavat salauksen, monitekijätodennuksen (MFA) ja muita tekniikoita, joita tarvitaan sisäänkirjautumisten ja salasanojen suojaamiseen."

Hauk luottaa 1Password-salasanojen hallintaan, jonka hän huomauttaa, että se toimii suosituimmissa alustoissa ja sovelluksissa ja tallentaa tunnistetiedot turvallisesti hyvin salattuun tietokantaan.

"Salasanojen hallinnan avulla voit luoda vahvoja, monimutkaisia salasanoja ilman norsun muistia", sanoi Schloss, "ja useimmat niistä tarjoavat jonkin tason rikkomisen valvontaa, jotta tiedät, milloin sinun on vaihdettava sivustoa Salasana."

Schloss käyttää Keeperia ja Last Passia koti- ja työlaitteissaan, mutta ehdottaa, että vaikka molemmilla on etunsa, useimpien ihmisten ei tarvitse käyttää kahta salasananhallintaohjelmaa.

Verkkokaapelit lukittu hopeanvärisen riippulukon kaulaan. — May Lim / Getty Images

Hän väitti, että useimmilla suosituilla on laitteiden välinen tuki, mikä tekee niistä mukavia käyttää. Vaikka monet tallentavat tunnistetietosi kolmannen osapuolen palvelimelle, tiedot on salattu päästä päähän, mikä tarkoittaa, että salasanasi ovat turvassa, vaikka hakkerit rikkoisivat salasananhallintaohjelman palvelimia.

"Tästä huolimatta mikä tahansa salasananhallinta on parempi kuin ei salasananhallintaa", Schloss neuvoi. Hän huomautti, että salasanojen uudelleenkäyttö on paljon vaarallisempaa ja kauheaa tapaa tottua.

"Esimerkiksi jos sivusto rikotaan ja uhkatekijät pääsevät käsiksi salasanaasi, he voivat käyttää samaa salasanaa päästäkseen muihin tileihisi", Schloss varoitti. "Annoit heille linnasi avaimet siinä vaiheessa."