מזונות חשובים
- Google עדכנה את מנהל הסיסמאות המובנה בדפדפן האינטרנט Chrome ובמערכת ההפעלה של Android.
- החברה טוענת שהתכונות החדשות מקרבות אותה למנהלי סיסמאות של צד שלישי.
- עם זאת, מומחי אבטחה מזהירים מפני אחסון אישורים בתוך דפדפן אינטרנט.
כפי שקורה לעתים קרובות בטכנולוגיה, הנוחות באה על חשבון האבטחה.
Google הוסיפה תכונות שימושיות למנהל הסיסמאות המובנה בכרום ובאנדרואיד שהופכות אותו לחלופה אמיתית למנהלי סיסמאות ייעודיים. עם זאת, זה לא מספיק כדי לשכנע מומחי אבטחה לסמוך על דפדפנים כדי לאחסן סיסמאות.
"אני לא מעריץ של אחסון סיסמאות באף דפדפן אינטרנט", אמר כריס Hauk, אלוף פרטיות הצרכנים ב-Pixel Privacy, ל-Lifewire באימייל. "עם זאת, זה נכון במיוחד לגבי דפדפן כמו Chrome, שסבל מפרצות אבטחה ופרטיות רבות בעבר."
כלי שגוי לתפקיד
בהחלפת דוא"ל עם Lifewire, Dahvid Schloss, Managing Lead, Offensive Security, ב-Echelon Risk + Cyber, אמר שההשקה של מנהל הסיסמאות של גוגל אכן יוצרת אפליקציה נוחה מאוד לשיתוף בין המכשירים של המשתמש. "אבל בסופו של יום, האפליקציה מאובטחת רק כמו המכשיר הכי פחות מאובטח שלה שמשתמש בה."
Stephanie Benoit-Kurtz, הפקולטה הראשית של המכללה למערכות מידע וטכנולוגיה באוניברסיטת פיניקס, הסכימה. באימייל היא אמרה ל-Lifewire שלמרות שדפדפנים עשו כברת דרך במתן חוויה פשוטה למשתמשים בעת אחסון כניסות וסיסמאות לאתרי אינטרנט, השימוש בהם לאחסון סיסמאות הוא מדרון חלקלק.
Benoit-Kurtz ציין במפורש שתי בעיות באחסון סיסמאות בדפדפנים. הראשון הוא הצפנה, מכיוון שדפדפני אינטרנט תלויים בתצורת המכשיר להגדרות ההצפנה. היא אמרה שמשתמשים כלליים לא לגמרי מבינים את חשיבות ההצפנה בהגנה על המכשירים שלהם.
"האתגר השני הוא שאם מכשיר עם הגדרות הדפדפן שלך נגנב או נופל לידיים של מישהו אחר באמצעות פריצה, ייתכן שלשחקן הרע תהיה גישה לכל נתוני הכניסה והסיסמה למערכות", אמר בנואה-קורץ.
היא גם הודתה שבעוד שדפדפנים עשו דרך ארוכה עם אבטחה, אנשים עדיין צריכים לעמוד בקצב של כל התיקונים, ותחזוקה נדרשת כדי לשמור על אבטחתם. גם אז ישנם איומים של אפס יום שיכולים להפוך אפילו דפדפנים מעודכנים לחלוטין לפגיעים.
Schloss הודה שאמנם הוא עדיין לא התעסק עם מנהל הסיסמאות המעודכן של Chrome, אבל נראה שזה לא מודול תוסף ל-Chrome.
"זה אומר שייתכן מאוד שזה לא יפתור את בעיית אחסון הטקסט הפשוט שעברה ועושה שימוש לרעה על ידי גורמי איומים", הסביר שלוס, "הוביל לכך שכל הסיסמאות שלך יופרו אם שחקן האיום כבר היה במכשיר שלך."
… האפליקציה מאובטחת רק כמו המכשיר הכי פחות מאובטח שלה שמשתמש בה.
התקשר למומחה
במקום להשתמש בדפדפנים לאחסון אישורים, המומחים שלנו ממליצים להשתמש בכלים מיוחדים שנוצרו במפורש לאחסון סיסמאות.
"לאפשרות מאובטחת יותר, הערך טכנולוגיה מתקדמת יותר כגון כספות סיסמאות כדי לשמור על כניסות וסיסמאות מאובטחות", הציע בנואה-קורץ. "כלים אלה נמכרים בדרך כלל כמנוי ומספקים הצפנה, אימות רב-גורמי (MFA) וטכנולוגיות אחרות הנחוצות להגנה על כניסות וסיסמאות."
Hauk מסתמך על מנהל הסיסמאות של 1Password, שהוא מציין שהוא פועל ברוב הפלטפורמות והאפליקציות הפופולריות ומאחסן באופן מאובטח אישורים במסד נתונים מוצפן היטב.
"מנהלי סיסמאות מאפשרים לך ליצור סיסמאות חזקות ומורכבות מבלי שיהיה לך זיכרון של פיל", אמר שלוס, "ורובם מספקים רמה מסוימת של ניטור הפרות כדי ליידע אותך מתי אתה צריך לשנות אתר סיסמה."
Schloss משתמש ב-Keeper וב-Last Pass עבור מכשירי הבית והעבודה שלו, אבל מציע שלמרות שלשניהם יש את היתרונות שלהם, רוב האנשים לא צריכים להשתמש בשני מנהלי סיסמאות.
הוא טען שלרוב הפופולריים יש תמיכה במכשירים אחרים שהופכת אותם נוחים לשימוש. בעוד שרבים מאחסנים את האישורים שלך בשרת של צד שלישי, הנתונים מוצפנים מקצה לקצה, מה שאומר שהסיסמאות שלך בטוחות גם אם האקרים מפרים את שרתי מנהל הסיסמאות שלך.
"עם זאת, כל מנהל סיסמאות עדיף על שום מנהל סיסמאות", יעץ שלוס. הוא ציין ששימוש חוזר בסיסמאות הוא הרבה יותר מסוכן ותרגול נורא להתרגל אליו.
"לדוגמה, במקרה של פריצת אתר ושחקני האיום יקבלו גישה לסיסמה שלך, הם יכולים להשתמש באותה סיסמה כדי לקבל גישה לחשבונות האחרים שלך", הזהיר שלוס. "נתת להם את המפתחות לטירה שלך באותו שלב."