Почему небезопасно хранить пароли в браузерах?
У всех современных браузеров существует функция хранения пользовательских логинов и паролей, вводимых в формы авторизации на различных сайтах. Несомненно, это удобно. Ввел пароль один раз, дал браузеру согласие на его сохранение, и теперь все следующие входы на сайт не потребуют ручного ввода данных авторизации. Но так ли это безопасно? Попробуем во всем разобраться.
Риски хранения паролей в браузерах
Самый большой риск хранения данных авторизации в браузерах связан с тем, что к паролям легко получить доступ. В основном, конечно, риск создает сам пользователь из-за своей забывчивости. Стоит на минуту оставить компьютер без присмотра и кто угодно сможет за несколько секунд скопировать все логины и пароли. Этим «кем угодно» может оказаться офисный сотрудник, работник отеля или даже члены семьи (практически все пользователи ПК прячут определенную информацию даже от своих мам, пап, детей, братьев, сестер и т.д.).
А сделать это можно при помощи специальных программ. В статье Как посмотреть сохраненные пароли в Opera? подробно рассмотрены все доступные способы получения доступа к сохраненным паролям в браузере Opera, в т.ч. и при помощи специальных утилит.
Справедливости ради отметим, что во всех браузерах присутствует функция защиты базы данных с логинами и паролями путем шифрования файла, в котором те хранятся. По умолчанию эта функция всегда отключена, потому многие пользователи вообще не знают о ее существовании. Но даже если активировать шифрование файла с паролями, то риск их утечки в третьи руки все равно сохраняется. Вот почему:
Однако и это еще не весь перечень угроз. Согласно многим авторитетным источникам в сети, пароли из браузеров могут быть похищены злоумышленниками в процессе синхронизации веб-обозревателя с удаленным сервером (если такая функция, конечно, включена). И это с учетом того, что браузеры передают пользовательские данные в зашифрованном виде. Злоумышленники могут перехватывать трафик от компьютера до серверов разработчиков браузеров, а затем применить к ним разнообразные методы взлома шифрования. Защититься от подобных утечек можно, разве что, путем использования в качестве шифровального мастер-ключа сложной парольной фразы, но это делает далеко не каждый пользователь.
Получается, хранить пароли в браузере нельзя?
Браузеры никак не назвать надежным местом для хранения конфиденциальной информации, особенно если речь идет о данных, например, от личного кабинета онлайн-банка. Существующая у них функция сохранения паролей, позволяющая также автоматически заполнять формы авторизации, создана, скорее, для удобства. Везде и всюду на этот счет советуют использовать специальное программное обеспечение — менеджеры паролей. Даже у самой простой такой программы больше функций обеспечения безопасности, чем у всех браузеров вместе взятых.
Но многие пользователи находят использование менеджеров неудобным. В основном это связано с тем, что их приходится запускать отдельно от браузера, да и функция автозаполнения веб-форм присутствует не у каждой из таких программ. Но некоторые менеджеры паролей лишены этих недостатков. Взять, к примеру, программу MultiPassword. Точнее не саму ее, а только веб-версию — расширение для браузера.
1
MultiPassword интегрируется в интернет-обозреватель, позволяя заменить собой (если пользователь даст разрешение) стандартную функцию автоматического сохранения паролей и автозаполнения веб-форм. Пароли расширение хранит как на компьютере, так и на удаленном сервере. Но для защиты пользовательских данных используется не только мастер-пароль, а еще и специальный секретный ключ, который генерируется автоматически (что, в свою очередь, исключает возможность доступа к базе со стороны разработчиков программы). Другими словами, даже если злоумышленники перехватят трафик, им потребуется сотни лет, чтобы достать из кучи перехваченных данных ценные сведения.
Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.
Почему не рекомендуется хранить пароли в браузере?
Практически все современные браузеры (как для компьютеров, так и для мобильных устройств) обладают функцией хранения логинов и паролей (а в некоторых случаях и хранения данных с заполняемых на сайтах веб-форм). Эта функция обычно включена по умолчанию, а основное ее достоинство — простота использования.
Особенности функции сохранения паролей в браузере
При вводе логина и пароля браузер либо предлагает сохранить логин/пароль, либо делает это автоматически. То же самое относится и к заполнению полей ввода логинов и паролей — браузер делает это автоматически или предлагает пользователю заполнить нужные поля в один клик. Кроме того, пользователь может в любой момент открыть настройки своего веб-обозревателя, перейти в соответствующий раздел и просмотреть весь список хранимых в нем парольных фраз со ссылками, ведущими на страницы заполнения веб-форм.
Почему хранение паролей в браузере небезопасно?
Из вышесказанного можно сделать вывод: данная функция у браузеров — не самый безопасный способ хранения такой чувствительной информации, как данные для авторизации на сайтах или веб-системах, функционирующих через веб-обозреватели. Ведь ко всем логинам и паролям довольно просто получить доступ, и сделать это можно не только через сам браузер.
Существует большое количество программ, способных скопировать (экспортировать) абсолютно все логины и пароли из любого браузера. И такие приложения — это никакие не вирусы, не шпионское или вредоносное ПО, а вполне себе легальные утилиты, в большинстве случаев распространяющиеся бесплатно (например, это умеет делать утилита WebBrowser). Все дело в способе хранения браузером пользовательских паролей. Хранятся они в специальном файле, который по умолчанию никак не защищен — он просто находится на диске в незашифрованном виде. И все, что делают программы для экспорта паролей из браузера — открывают этот файл, считывают из него данные и сохраняют/отображают их в понятном для пользователя виде.
Конечно, у всех современных интернет-обозревателей имеется функция защиты того самого файла путем его шифрования. В этом случае файл с паролями открыть будет невозможно, не зная ключа дешифрования (т.е. мастер-пароля). Нельзя будет и войти в настройки браузера, чтобы посмотреть весь список сохраненных логинов/паролей. Также, не зная ключа дешифрования, невозможно воспользоваться функцией автоматического заполнения веб-форм (браузер попросит сначала ввести этот ключ).
Но с этой системой защиты есть пара нюансов (дыр в безопасности):
Есть у этой браузерной функции и такой недостаток, как возможная утрата всех сохраненных пользовательских логинов/паролей при переустановке системы или самого браузера. Конечно, это не столь существенный недостаток — пароли можно сохранить, задействовав синхронизацию данных между браузером и серверами компании-разработчика (в этом случае пароли будут храниться на удаленном сервере) либо заранее экспортировав их в файл (что, кстати, тоже совсем небезопасно, а иногда и невозможно без установки специального расширения, как в случае с тем же Mozilla Firefox).
Как безопасно хранить пароли?
Краткий ответ на этот вопрос — использовать специализированные программы для хранения паролей в зашифрованном виде, например, MultiPassword. Таких приложений, именуемых «менеджерами паролей», довольно много — как платных, так и бесплатных. И основное их предназначение — хранение паролей в зашифрованном виде (впрочем, некоторые приложения позволяют хранить любые текстовые данные или даже файлы).
Большинство современных парольных менеджеров также обладают функциями автоматического сохранения паролей и заполнения веб-форм на сайтах. Для этого, помимо самой программы, на компьютер также придется установить расширение для браузера (автоматическое сохранение/заполнение паролей без этого не будет работать).
Менеджеры паролей существуют не только в виде десктоптных приложений. Среди них имеются и самостоятельные расширения для веб-обозревателей. Для их функционирования никаких других программ использовать не нужно.
В любом случае, использование специальных программ/расширений является более безопасным способом хранения логинов/паролей. Вот лишь некоторые из причин:
Ознакомиться с конкретными парольными менеджерами и специализированными расширениями для браузеров можно из нашей статьи Программы для хранения паролей — лучшие менеджеры паролей для Windows.
Опасно ли сохранять пароли в браузере?
То, что сохранять пароли в браузере удобно, все и так понимают. Но безопасно ли это делать?
Хранить пароли в браузере, безусловно, очень удобно. Тем более, что современные технологии, например, экосистемы Apple и Google, позволяют переносить их между устройствами. Допустим, между личным ноутбуком, компьютером на работе и смартфоном.
Однако, храня все пароли (в том числе от интернет-банка и портала государственных услуг) в обозревателе, можно ли быть уверенным, что их не похитят злоумышленники? Насколько браузер безопасен в качестве менеджера паролей?
Игра, которая заранее проиграна
Сохраняя пароли в памяти обозревателя, вы должны учитывать: любой, кто сможет хоть ненадолго получить доступ к вашему устройству от вашего имени, будет способен ими воспользоваться.
Чтобы не быть голословными, дадим слово эксперту. На тему хранения реквизитов в браузере отлично высказался Джастин Шух (Justin Schuh) — руководитель группы разработчиков, отвечающих за техническую безопасность браузера Google Chrome.
В одной из дискуссий на интернет-ресурсе Hacker News он подробно разъяснил политику Chrome относительно хранения паролей.
Поэтому Google Chrome использует для защиты конфиденциальных данных только средства операционной системы — то есть, средства защиты всей учетной записи пользователя, пояснил он. По мнению разработчиков Google, встраивать дополнительную защиту в браузер — значит, давать пользователю «ложное чувство безопасности».
Потому что любой человек, получивший доступ к компьютеру (то есть, к вашей «учетке» в операционной системе), сможет сделать абсолютно все то, что можете и вы — в том числе и войти от вашего имени на разные сайты. Причем это может быть не только абстрактный хакер из Интернета, но и, к примеру, ваш близкий друг или коллега.
Сохраняете пароли — не подпускайте к ним никого!
Невидимому хакеру, на самом деле, достаточно сложно добраться до ваших паролей в обозревателе — при условии, что ваше устройство достаточно защищено от вирусов. При попытке атаки с инъекцией вредоносного ПО через браузер, его встретят ваш антивирус и Защитник Windows, антивирусное приложение для Android или закрытая экосистема iOS.
Гораздо большую опасность предоставляет самый простой сценарий — люди рядом с вами. Стоит вам ненадолго отлучиться от компьютера на работе, оставив его включенным, и злонамеренный коллега может устроить с вашего ПК рассылку по корпоративной почте или скопировать какие-то данные, представляющие коммерческую тайну.
То же самое и с домашними: никто не помешает вашему брату скопировать все ваши пароли из браузера, едва вы отойдете от ноутбука, чтобы потом над вами подшутить. Или вашей жене — зайти в вашу любимую соцсеть и устроить скандал, увидев вашу переписку с бывшей. Или ребенку — залезть в интернет-банк и перевести деньги с вашей карты на электронный кошелек, чтобы оплатить покупку в онлайн-игре.
Поэтому вывод здесь может быть только один: хотите хранить конфиденциальную информацию в браузере — храните, но не подпускайте к ней никого! Несколько советов, как сделать это, мы сейчас дадим.
Комментарий эксперта
Денис Легезо, антивирусный эксперт «Лаборатории Касперского».
«Сохранять пароли от почты, соцсетей или онлайн-банкинга в браузерах небезопасно. Да, в современных браузерах можно установить мастер-пароль для шифрования сохраненных данных, но директории, в которых браузеры хранят такую информацию, в любом случае известны. Как известны и вредоносы, которые такие файлы забирают. В сочетании с угрозой от клавиатурных шпионов хранение паролей в браузере становится еще более опасным.
В идеале логин и пароль лучше вводить каждый раз, когда вы совершаете вход в ваши платежные аккаунты, странички соцсетей или почту. Самый безопасный вариант хранения паролей — это по-прежнему в голове. Минус такого подхода в том, что пароли должны быть уникальными для разных сервисов, а запомнить большое количество сложных паролей не просто.
Удобным и более безопасным, чем сохранение в браузерах, является вариант хранения паролей в специально предназначенной для этого локальной программе — менеджере паролей. В этом случае пользователь разделяет активный в сети, и потому находящийся в зоне риска браузер, и свою зашифрованную базу паролей».
Как защитить пароли в обозревателе
Если вам этого мало
Если защита учетной записи все-таки кажется вам недостаточной для того, чтобы никто не смог воспользоваться вашими паролями в браузере, вы можете поставить мастер-ключ на сам браузер. О том, как сделать это, читайте в нашем материале:
Ключ от браузера, как и от вашего пользовательского аккаунта в ОС, должен быть известен только вам, и не должен нигде записываться и сохраняться. Только в этом случае он будет иметь смысл.
Для мобильного устройства можно воспользоваться приложением-менеджером паролей. Вот здесь у нас есть варианты:
Но следует помнить, что все это — дополнительные меры. Прежде чем воспользоваться ими, подумайте: не усложнят ли они вам жизнь?
Эксперт Дмитрий Бондарь: злоумышленники могут получить доступ к сохраненным в браузере паролям
Работа за ноутбуком
Эксперт рассказала, за что могут оштрафовать владельцев собак
«Векторов утечек учетных данных из браузера много. Начиная с типичного сценария, когда кто-то посторонний получает физический доступ к устройству, заканчивая различными киберугрозами. После подтверждения автоматического сохранения логинов и паролей в браузере они записываются в специальном файле. Сегодня широко распространены вирусы, которые охотятся за этими файлами», — рассказал Бондарь.
По его словам, помимо логинов и паролей в них бывают сохранены также номера банковских карт и коды CVC/CVV, утечка которых особенно опасна.
«В браузере можно хранить учетные данные только от малозначимых сервисов. При этом важно, чтобы они не совпадали с данными для авторизации ни в одном другом более критичном аккаунте», — предупредил специалист.
Он отметил, что после похищения одной комбинации злоумышленники обязательно попробуют, используя ее, войти в другие аккаунты жертвы. Эксперт подчеркивает, что пользователи часто недооценивают ценность личного email, однако, как правило, доступ к большинству сервисов – как критичных, так и некритичных – можно восстановить именно через сервис электронной почты.
Кроме хранения паролей в браузерах, опасность также представляет синхронизация этих данных на разных устройствах. Риск потери доступа к учетным записям от этого только возрастает.
Бондарь рекомендует сохранять в браузере неполные пароли, а последние символы всегда вводить вручную. При этом важно запретить браузеру сохранять обновленный пароль. Таким образом пользователю не придется запоминать длинные и сложные комбинации, а в случае утечки злоумышленник не сможет войти в учетную запись.
Безопасно ли сохранять пароли в браузере?
Google Chrome, Firefox и Safari позволяют пользователям хранить свои пароли с помощью встроенного менеджера паролей. Некоторые браузеры даже генерируют случайные пароли для пользователей и запоминают их самостоятельно. Это, несомненно, удобная функция — никто не хочет запоминать десятки сложных уникальных паролей. Но насколько безопасны веб-браузеры для хранения этой информации?
У разработчиков есть четкая задача: привлечь как можно больше пользователей на свои платформы. Но удобство часто достигается ценой безопасности, и сохранение паролей в браузере — именно такой случай. Диспетчер паролей на основе браузера не предлагает такой же защиты, как специализированные решения для управления паролями по типу 1Password. В некоторых браузерах (особенно в их старых версиях) данные могут стать легкой добычей для хакеров.
Когда пользователь входит в свою учетную запись Google, Chrome автоматически сохраняет любые вводимые пароли. Если кто-то сможет получить доступ к этой учетной записи, весь список паролей будет доступен им через Диспетчер паролей Google. И даже если вход в учетную запись не выполнен, есть специальные инструменты для извлечения паролей, например, ChromePass.
Firefox скрывает пароли пользователей, используя один мастер-пароль в качестве ключа шифрования. Это шифрование имеет очень низкий уровень безопасности, поэтому при желании злоумышленник легко завладеет вашими паролями. А если у кого-то будет физический доступ к устройству, то получить пароли можно даже без входа в систему с помощью инструментов для восстановления паролей, например PasswordFox.
Safari немного безопаснее, поскольку требует от пользователя создания уникального мастер-пароля. Пользователь Safari может установить код, отличный от пароля операционной системы, и сохранить свои пароли уже с помощью него. Но не все так радужно и ниже мы в этом убедимся.
Помимо уязвимостей безопасности каждого отдельного браузера, существует еще один метод получения пароля, который работает во всех браузерах. И он настолько простой, что любой пользователь сможет раскрыть сохраненные в браузере пароли буквально за минуту:
