Czy menedżery haseł w przeglądarkach są niebezpieczne?

W ciągu ostatnich kilku dni w sieci pojawiło się sporo informacji na temat tego, że Google Chrome nie chroni zapamiętanych haseł. Są one widoczne dla każdego, kto ma fizyczny dostęp do komputera. Czy faktycznie jest to zagrożeniem i czy warto dodatkowo się zabezpieczyć?

Przyczyną całego zamieszania jest podstrona chrome://settings/passwords. Znajduje się tutaj lista wszystkich zapamiętanych haseł. Prezentowane kody są wykropkowane. Wystarczy jednak kliknąć przycisk Pokaż, aby hasło bez problemu zobaczyć.

Osobiście dziwi mnie oburzenie niektórych blogerów oraz dziennikarzy IT. Panel ten wygląda w ten sposób od lat, nic się tam ostatnio nie zmieniło. Można więc powiedzieć, że panowie informatycy odkryli Amerykę w konserwach. Chrome nie chroni obecnie haseł w inny sposób niż dawniej.

Podkreślmy to jeszcze raz: do wycieku kodów konieczny jest fizyczny dostęp do komputera. Obca osoba musi usiąść przed klawiaturą, przejść do ustawień Chrome'a i przepisać hasła na kartkę lub skopiować je do schowka. Uzyskanie kodów za pomocą ataku hakerskiego nadal graniczy z cudem.

W praktyce jeśli nasz komputer stoi w mieszkaniu lub domu i korzystamy z niego sami, utrata haseł jest wysoce nieprawdopodobna. Nawet w przypadku włamania złodzieje będą zapewne bardziej interesować się samym sprzętem niż zawartością jego dysku.

Jeśli jednak peceta używa kilka osób warto utworzyć osobne profile w systemie Windows lub samej przeglądarce Chrome. Przed oddaniem komputera do serwisu należy wylogować się z programu Google'a i wyczyścić wszystkie prywatne dane - w tym zapisane hasła.

Jeśli to nam nie wystarcza możemy zawsze wyłączyć opcję zapisywania haseł w Chrome'ie i przesiąść się na rozszerzenie takie jak LastPass. Ten popularny menedżer kodów chroni wszystkie zapisane w nim dane za pomocą hasła głównego. Bez jego znajomości obca osoba nie zobaczy nic.

Jak to wygląda w innych przeglądarkach? Firefox również obsługuje hasło główne, ale domyślnie funkcja ta jest wyłączona. Należy aktywować ją samodzielnie w ustawieniach. Bez niej przeglądanie haseł jest tak samo łatwe jak w aplikacji Google'a.

Internet Explorer nie ma wbudowanej przeglądarki zapisanych haseł. Za pomocą różnego rodzaju programów czy skryptozakładek można jednak bez problemu kody przeglądać. Czasami wymaga to odwiedzania stron WWW, na których je wpisywano. Nie jest to jednak duże utrudnienie.

Warto pamiętać też o tym, że nie ma stuprocentowo pewnych zabezpieczeń. Jeśli np. wpisujemy wszystkie hasła ręcznie za każdym razem, możemy łatwo paść ofiarą złośliwego oprogramowania w rodzaju keyloggera. Przyznacie, że ryzyko jest w tym wypadku większe niż przy kradzieży z włamaniem.

Komentarze