USD 66.62 ЕВРО 75.54

Парольное безумие Chrome можно вылечить

Аналитика

Движимые раздутой шумихой вокруг безразличия Chrome к безопасности пароля, эксперты настоятельно рекомендуют Google закрывать хранилище паролей мастер-ключом.

Google должен закрыть пароли в Chrome с помощью мастер-ключа, чтобы осложнить работу злоумышленникам, сказал эксперт по вопросам безопасности в четверг.

«Google должна по крайней мере защитить хранилище паролей Chrome с помощью мастер-пароля», сказал в интервью Эндрю Стормс, старший директор DevOps в CloudPassage.

Стормс среагировал на шумиху этой недели, после того, как разработчик программного обеспечения Элиот Кембер заметил, что Chrome позволяет любому, имеющему физический доступ к компьютеру, легко подсмотреть сохраненные пароли.

Кембер назвал практику в Chrome «безумной стратегией безопасности пароля».

Chrome сохраняет пароли по запросу пользователя, а затем вспоминает их для автоматических логинов на сайтах. Наберите в адресной строке браузера «chrome://settings/passwords» — там отображаются аккаунты, имена пользователей и пароли.

Хотя пароли маскируются звездочками, одно нажатие на кнопку «Показать» и пароль становиться виден в виде обычного текста.

Кембер возражает против системы Chrome. «Там нет мастер-пароля, никакой безопасности, нет даже подсказки, что «эти пароли видимы»», писал он. Любой человек, имеющий доступ к компьютеру — сотрудник или, скажем, ребенок или супруга на совместной системе, могут легко воровать пароли из браузера. «Подойдите сегодня к кому-нибудь из нетехнических специалистов. Попросите воспользоваться их компьютером. Посетите chrome://settings/passwords и нажмите «Показать». Увидите, что они скажут», говорит Кембер.

Chrome всегда хранил пароли подобным образом, но взрыв обсуждений в интернет-комментариях показал, что мало кто об этом знал.

Google не помог расхваленной репутации безопасного браузера Chrome ни в этом случае, ни в случае, когда Джейсон Шух, технический руководитель безопасности браузера, отклонил жалобы в сообщениях на Hacker News, где сказал, что такой доступ к паролю не упущение, а запланирован по дизайну.

«Мы не хотим давать пользователям ложное чувство безопасности, а также поощрять рискованное поведение», сказал Шух критикам, которые задавались вопросом — почему в Chrome нет, по крайней мере, пароля второго уровня – «мастер-ключа», — для доступа к паролям в открытом виде? «Мы совершенно ясно хотим дать понять, что если вы предоставляете кому-то доступ к вашей учетной записи пользователя ОС, они могут получить всё», добавил Шух. «Потому что в действительности, это то, что они получают».

Стормс видит ситуацию иначе. И по виртуальным боям, вызванным комментариями Шуха, большинство пользователей согласно со Стормсом.

Шух сделал ошибочный вывод, сказал Стормс. «Давайте согласимся, что кому-то нужно получить доступ к компьютеру, где хранятся пароли», сказал Стормс. «Но должен быть дополнительный уровень безопасности — мастер-пароль, как сделано в Firefox». В противном случае, продолжил он, не будет никаких препятствий даже для случайного шпионажа.

Компания Google отказалась комментировать шумиху или то, что она будет реагировать на онлайн-сражение изменением обработки паролей Chrome.

Chrome не единственный браузер, который позволяет любому имеющему доступ к машине посмотреть пароли: Firefox от Mozilla делает тоже самое, хотя, как отметил Стормс, он предлагает возможность блокировки доступа со вторым – мастер-паролем.

Safari от Apple и Microsoft Internet Explorer (IE) являются более безопасными и сложными для кражи пароля. Оба требуют, чтобы пользователи снова ввели пароль учетной записи пользователя (пароль входа в операционную систему) для просмотра сохраненных паролей, по сути, используя пароль учетной записи пользователя в качестве мастер-ключа.

Все четыре браузера шифруют файл паролей, некоторые используют более надежное шифрование, чем другие. Но Chrome и Firefox автоматически используют существующий пароль учетной записи пользователя для расшифровки файла, не спрашивая пользователя.

Говоря проще, обычный вор, который подходит к клавиатуре работающего ПК или Mac должен также знать пароль учетной записи пользователя, чтобы посмотреть в Safari и IE файл паролей. Но он может сразу увидеть его содержимое в Chrome, а также в Firefox, если ранее не был установлен мастер-ключ.

Таким образом, Стормс взывает к Google, чтобы она добавила дополнительный мастер-пароль для Chrome, чтобы быть, по крайней мере, на одном уровне с Firefox. А ещё лучше, если пользователь будет вводить пароль своей учетной записи еще раз.

Кризис пароля Chrome на этой неделе не был новостью: вопрос был известен и раньше, хотя реакция в этот раз превзошла все ожидания. «На самом деле, это была моя первая реакция», сказал Стормс, когда его спросили — является ли новая шумиха бурей в стакане, или претензии обоснованы? «Это давно известный факт… Так почему именно сейчас? Разве все ещё не знают об этом?»

Но Стормс не преуменьшает озабоченность критиков. «Это довольно странная ситуация, так как Chrome находится в верхней части списка как самый безопасный браузер, защищённый от вредоносных программ», сказал он.

Вставить требуемый мастер-ключ в Chrome несложная задача для программистов, говорит Стормс. «Я не думаю, что это будет очень трудно для них», сказал он.

Стормс говорит, что пользователи желают, чтобы Chrome или любой другой браузер, сохраняющий пароли, предлагал варианты. В частности, менеджеры паролей, которые специально разработаны для сохранности паролей, оставляют легкий вход на сайты.

Стормс рекомендует использовать 1Password (цена $49,99 для Windows и OS X). Но есть много других вариантов, в том числе KeePass (бесплатно, под Windows), LastPass (для Windows и OS X бесплатно или $12 в год за премиум версию) и RoboForm ($ 29,95 для Windows и OS X).