Пароли в браузере - против менеджера паролей

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Хранить пароли в браузере или использовать отдельный менеджер паролей? Конечно, второе — и вот почему.


Сохранять пароли в браузере, чтобы каждый раз их не вводить, разумеется, очень удобно. Но насколько безопасно так делать? В этом посте мы обсудим три причины не хранить пароли в браузерах, а использовать для этого более безопасный метод хранения — отдельный менеджер паролей.

why-it-is-not-safe-to-store-passwords-in-browsers-featured.jpg


1. Вредоносное ПО — стилеры паролей

Главная проблема хранения паролей в браузерах в том, что браузеры приносят безопасность в жертву удобству использования. Это справедливо как минимум для тройки самых популярных браузеров, которые использует подавляющее большинство людей: Google Chrome, Mozilla Firefox и Microsoft Edge — эти браузеры хранят пароли пользователя крайне небезопасно.

Дело в том, что все браузеры записывают пароли в очень предсказуемом месте — в папке, путь до которой всем прекрасно известен. И хотя пароли зашифрованы, недалеко от них хранится и ключ шифрования, доступ к которому может получить кто угодно. Используя этот ключ, пароли можно расшифровать и украсть. Получается смешная ситуация: дверь вроде бы достаточно надежно заперта, вот только ключ лежит под половичком, и все об этом прекрасно знают — заходи кто хочешь.

Собственно, этим фактом пользуются и сами браузеры для конкуренции друг с другом: чтобы упростить пользователю переезд, они часто предлагают импортировать все его сохраненные данные из старого браузера — включая и запомненные этим старым браузером пароли.

А знаете, кто еще пользуется этой интересной особенностью популярных браузеров? Целый класс вредоносного ПО, который называется (на английском — password stealers) и специализируется на поиске и краже учетных данных. Такие зловреды ходят по хорошо известным папкам, в которых лежат сохраненные браузером пользовательские пароли, ищут ключи рядом под половичком, а потом расшифровывают пароли и заливают все найденное на сервер злоумышленников.

‼️ Дальше эти пароли обычно собирают в базу и оптом продают в даркнете, а уже какие-нибудь другие жулики используют их для угона аккаунтов — в киберпреступном мире давно развита узкая специализация.

Чтобы понять, насколько просто угнать пароли, сохраненные в браузере, рекомендуем посмотреть демонстрацию того, как с помощью скрипта на питоне можно , — в ней все очень наглядно показано.


Демонстрация того, как можно извлечь пароли, сохраненные в Google Chrome, Mozilla Firefox и Microsoft Edge.

2. Физический доступ к компьютеру

Кстати, то же самое может проделать не только специально обученное вредоносное ПО, но и любой человек, получивший физический доступ к вашему компьютеру. Великим хакером для этого быть не обязательно — скрипты, необходимые для извлечения паролей из браузера, можно без особых проблем найти в Интернете, останется лишь их запустить.

Так может поступить излишне любопытный родственник или коллега на работе, если вы оставите компьютер незаблокированным. Или зашедший на разведку в офис вашей компании хакер — в целом это может быть кто угодно, важно то, что все сохраненные в браузере пароли окажутся в чьих-то чужих руках.

И даже если у такого человека не будет при себе скриптов для извлечения паролей из сохраненного браузером файла, он может посмотреть в настройках список сайтов, к которым сохранены пароли, и зайти на любой из них, чтобы почитать вашу переписку или ознакомиться еще с какими-нибудь тайнами.

В самом популярном в мире браузере — речь, конечно же, о Google Chrome — нет даже базового механизма, с помощью которого можно как-то воспрепятствовать таким действиям. А создатели Firefox хотя и догадались дать пользователям возможность защитить сохраненные пароли с помощью так называемого основного пароля, но оставили эту опцию выключенной по умолчанию. Основной пароль надо подключать и настраивать специально, и, скорее всего, о самом наличии такой возможности подозревают немногие пользователи Firefox.

3. Угон аккаунта браузера

Следующая проблема характерна для всех браузеров, которые предлагают пользователю для его удобства создать аккаунт для синхронизации браузеров на разных устройствах. Синхронизируются при этом как закладки, браузерные сессии, расширения и настройки, так и сохраненные пароли, — и все это хранится в облаке.
И если злоумышленник взломает ваш браузерный аккаунт, ему достаточно будет просто залогиниться на другом компьютере с той же учетной записью. После этого он сможет угнать у вас вообще все учетки, пароли от которых вы сохраняли, — от социальных сетей до онлайн-банков.

 
  • Теги
    браузер вредоносное по менеджер паролей стилеры паролей угон аккаунта
  • Сверху Снизу