Οι διαχειριστές κωδικών πρόσβασης υπάρχουν από τη δεκαετία του ’90 και τα σημαντικότερα προγράμματα περιήγησης πρόσθεσαν τη διαχείριση κωδικών πρόσβασης ως ενσωματωμένη λειτουργία στις αρχές της δεκαετίας του 2000. Από τότε, εμείς στο PCMag συμβουλεύουμε να βγάλετε τους κωδικούς σας από την ανασφαλή αποθήκευση του προγράμματος περιήγησης και να τους βάλετε σε έναν κατάλληλο, καλά προστατευμένο διαχειριστή κωδικών πρόσβασης. Τότε, μπορούσαμε να δείξουμε διαχειριστές κωδικών πρόσβασης που θα εξάγουν τους κωδικούς πρόσβασης από το πρόγραμμα περιήγησής σας, θα τους διαγράψουν από το πρόγραμμα περιήγησης και θα απενεργοποιήσουν την περαιτέρω καταγραφή κωδικών πρόσβασης με βάση το πρόγραμμα περιήγησης. Αυτό σίγουρα δεν ακούγεται ασφαλές!

Ευτυχώς, τα προγράμματα περιήγησης έχουν σημειώσει πρόοδο και δεν αφήνουν πλέον τους κωδικούς πρόσβασής σας τόσο ανοιχτούς σε εξωτερική χειραγώγηση. Αν θέλετε να μεταβείτε σε έναν ειδικό διαχειριστή κωδικών πρόσβασης, για παράδειγμα, θα πρέπει πιθανώς να εξάγετε ενεργά τους κωδικούς πρόσβασης από το πρόγραμμα περιήγησης και να τους εισάγετε στο νέο σας προϊόν.

Έχουν όμως τα προγράμματα περιήγησης σημειώσει αρκετή πρόοδο ώστε να μπορούμε να σας προτείνουμε να αποθηκεύετε τους κωδικούς σας σε αυτά; Συγκεκριμένα, θα πρέπει να χρησιμοποιήσετε το Google Password Manager, το οποίο είναι βολικά ενσωματωμένο απευθείας στο Chrome; Σύμφωνα με τους ειδικούς, η απάντηση παραμένει ένα ηχηρό όχι.

Ακόμη και οι εξειδικευμένοι διαχειριστές κωδικών πρόσβασης μπορούν να διαρρεύσουν δεδομένα

Για μια εταιρεία που βασίζεται στη διαχείριση κωδικών πρόσβασης, η εμπιστοσύνη είναι το παν. Οι σοβαροί υποψήφιοι χρησιμοποιούν τεχνικές μηδενικής γνώσης για την προστασία των κρυπτογραφημένων δεδομένων σας, έτσι ώστε κανείς -ούτε η εταιρεία κωδικών πρόσβασης, ούτε η κυβέρνηση, κανείς- να μην μπορεί να γνωρίζει τον κύριο κωδικό πρόσβασης ή να αποκρυπτογραφήσει τα δεδομένα σας.

Ακόμα κι έτσι, τα λάθη στην εφαρμογή μπορούν να θέσουν σε κίνδυνο την ασφάλεια των κωδικών πρόσβασης. Σε μια σειρά αποκαλύψεων που ξεκίνησαν τον περασμένο Αύγουστο, μάθαμε ότι χάκερς παραβίασαν τον υπολογιστή ενός βασικού υπαλλήλου της LastPass για να κλέψουν έναν άγνωστο αριθμό κρυπτογραφημένων θησαυροφυλακίων δεδομένων. Ακόμη χειρότερα, ορισμένα σημαντικά στοιχεία δεδομένων, όπως οι τομείς σύνδεσης, δεν ήταν κρυπτογραφημένα. Τώρα είναι δύσκολο να εμπιστευτεί κανείς την LastPass.

Το KeePass είναι ο αγαπημένος διαχειριστής κωδικών πρόσβασης των techies, εν μέρει λόγω των ατελείωτων δυνατοτήτων προσαρμογής του. Ωστόσο, αυτή η ίδια δύναμη προσαρμογής έχει αποκαλυφθεί ως ένα είδος αχίλλειου πτέρνας. Οποιοσδήποτε αποκτήσει πρόσβαση στον υπολογιστή σας, είτε με τη χρήση ενός Trojan απομακρυσμένης πρόσβασης είτε με το να καθίσει κατά την απουσία σας, μπορεί να κλέψει όλους τους κωδικούς πρόσβασης Keepass σας. Είναι ένα απλό θέμα να χρησιμοποιήσετε το Notepad για να δημιουργήσετε μια ενέργεια που εξάγει τους κωδικούς πρόσβασης σε απλό κείμενο και στη συνέχεια στέλνει τα δεδομένα που προκύπτουν στο διαδίκτυο. Ομολογουμένως, η απόκτηση της απαιτούμενης πρόσβασης θα μπορούσε να είναι δύσκολη, αλλά η εκμετάλλευση είναι δυνατή. Ή μάλλον, ήταν εφικτό. Η τελευταία ενημέρωση του KeePass, 2.53.1, αφαίρεσε την επιλογή εξαγωγής κωδικών πρόσβασης χωρίς να απαιτείται η εισαγωγή του κύριου κωδικού πρόσβασης.

Πώς να ενεργοποιήσετε ή να απενεργοποιήσετε το Google Password Manager

Πριν αναφερθούμε στο αν θα πρέπει να χρησιμοποιείτε το Google Password Manager, ας δούμε πώς μπορείτε να το απενεργοποιήσετε (ή να το ενεργοποιήσετε, αν αυτή είναι η επιλογή σας). Πρώτον, βεβαιωθείτε ότι έχετε ενεργοποιήσει τον Συγχρονισμό σε όλες τις περιπτώσεις του Chrome στις οποίες θέλετε να μοιράζεστε κωδικούς πρόσβασης. Κάντε κλικ στο μενού με τις τρεις τελείες πάνω δεξιά στο παράθυρο του Chrome και, στη συνέχεια, κάντε κλικ στην επιλογή Ρυθμίσεις. Το επάνω στοιχείο του μενού της αριστερής ράγας, με τίτλο Εσείς και η Google, θα πρέπει να είναι αρχικά επιλεγμένο- αν όχι, κάντε κλικ σε αυτό. Στο παράθυρο διαλόγου που προκύπτει, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε το συγχρονισμό.

Τώρα κάντε κλικ στην επιλογή Αυτόματη συμπλήρωση, ακριβώς κάτω από το You and Google, και κάντε κλικ στην επιλογή Password manager (Διαχείριση κωδικών πρόσβασης). Αν θέλετε να χρησιμοποιήσετε τη Διαχείριση κωδικών πρόσβασης Google, ενεργοποιήστε τα στοιχεία Προσφορά για αποθήκευση κωδικών πρόσβασης και Αυτόματη σύνδεση. Εάν όχι, απενεργοποιήστε τα.

Για περισσότερες πληροφορίες, μπορείτε να διαβάσετε το άρθρο How to Master Google Password Manager. Όχι, δεν το συνιστούμε από άποψη ασφάλειας- αλλά, ναι, γνωρίζουμε ότι κάποιοι άνθρωποι θα θυσιάσουν την ασφάλεια για την ευκολία.

Τι λένε οι ειδικοί για τους διαχειριστές κωδικών πρόσβασης προγράμματος περιήγησης

Για να συμπληρώσω τις δικές μου γνώσεις και εμπειρίες, κάλεσα ειδικούς από διάφορες γνωστές εμπορικές εταιρείες διαχείρισης κωδικών πρόσβασης, όπως ο Craig Lurey, συνιδρυτής και CTO της Keeper, ο Tomas Smalakys, CTO της NordPass, και ο Michael Crandell, CEO της Bitwarden.

Οι διαχειριστές κωδικού πρόσβασης προγράμματος περιήγησης είναι βολικοί αλλά επικίνδυνοι

Ο Smalakys ξεκίνησε με μια προειδοποίηση κατά της χρήσης του διαχειριστή κωδικών πρόσβασης ενός προγράμματος περιήγησης, λέγοντας: “Παρά τις συνεχείς προειδοποιήσεις των εμπειρογνωμόνων κυβερνοασφάλειας σχετικά με τα τρωτά σημεία των διαχειριστών κωδικών πρόσβασης του προγράμματος περιήγησης, οι χρήστες του διαδικτύου συνεχίζουν να πέφτουν στην παγίδα ‘Μα είναι βολικό!'”. Ο Lurey συμφώνησε, επισημαίνοντας ότι μια πρόσφατη δημοσίευση στο ιστολόγιο της Keeper κατέγραψε έναν μακρύ κατάλογο των λόγων για τους οποίους οι διαχειριστές κωδικών πρόσβασης του προγράμματος περιήγησης δεν είναι ασφαλείς.

Η κρυπτογράφηση μηδενικής γνώσης είναι ο λόγος για τον οποίο οι εξειδικευμένοι διαχειριστές κωδικών πρόσβασης μπορούν να διατηρήσουν τα δεδομένα σας ασφαλή, χωρίς ποτέ να έχουν πρόσβαση στον κύριο κωδικό πρόσβασής σας. “Ο διαχειριστής κωδικών πρόσβασης της Google δεν χρησιμοποιεί κρυπτογράφηση μηδενικής γνώσης”, δήλωσε ο Lurey. “Στην ουσία, η Google μπορεί να δει όλα όσα αποθηκεύετε. Έχουν μια “προαιρετική” λειτουργία για την ενεργοποίηση της κρυπτογράφησης των κωδικών πρόσβασης στη συσκευή, αλλά ακόμη και όταν είναι ενεργοποιημένη, το κλειδί για την αποκρυπτογράφηση των πληροφοριών αποθηκεύεται στη συσκευή”.

Ο Smalakys συμφώνησε ότι τα δεδομένα που είναι αποθηκευμένα στο πρόγραμμα περιήγησης δεν προστατεύονται με τον τρόπο που προστατεύονται τα δεδομένα ενός διαχειριστή κωδικών πρόσβασης. “Οι χάκερ χρησιμοποιούν μεθόδους κοινωνικής μηχανικής για να εξαπατήσουν τους χρήστες του διαδικτύου ώστε να κατεβάσουν νέες επεκτάσεις που μπορούν εύκολα να αποσπάσουν δεδομένα που είναι αποθηκευμένα σε ένα πρόγραμμα περιήγησης”, σημείωσε. Και συνέχισε: “Ενώ δεν υπάρχει τίποτα κακό με την αποθήκευση κωδικών πρόσβασης στο cloud, μια εταιρεία πρέπει να διασφαλίσει ότι τα δεδομένα των χρηστών κρυπτογραφούνται πριν αποθηκευτούν στο cloud. Ως εκ τούτου, οι χρήστες του διαδικτύου θα πρέπει να επιλέγουν έναν πάροχο υπηρεσιών που εγγυάται κρυπτογράφηση από άκρο σε άκρο”.

Ο Crandell πρόσθεσε: “Κάθε διαχειριστής κωδικών πρόσβασης είναι καλύτερος από το να μην υπάρχει διαχειριστής κωδικών πρόσβασης”, αλλά συνέχισε προειδοποιώντας: “Ο περιορισμός των διαχειριστών κωδικών πρόσβασης που βασίζονται στο πρόγραμμα περιήγησης είναι ότι λειτουργούν μόνο εντός ενός περιφραγμένου κήπου. Αν ποτέ χρειαστεί να λειτουργήσετε σε άλλο πρόγραμμα περιήγησης ή σε κάποιο περιβάλλον όπου δεν φτάνει αυτό το πρόγραμμα περιήγησης, είστε άτυχοι”.

Οι διαχειριστές κωδικών πρόσβασης έχουν περισσότερα χαρακτηριστικά

Ο Lurey προσέφερε μια λίστα με απλούς τρόπους με τους οποίους ο ενσωματωμένος διαχειριστής κωδικών πρόσβασης του Chrome δεν ανταποκρίνεται στα πρότυπα των ειδικών προγραμμάτων διαχείρισης κωδικών πρόσβασης. Για αρχή, είναι συγκεκριμένο για το Chrome- αν χρησιμοποιείτε άλλο πρόγραμμα περιήγησης, είστε χαμένοι. Δεν υπάρχει επιλογή για ασφαλή κοινή χρήση των κωδικών πρόσβασης, ούτε για τη δημιουργία ενός ψηφιακού κληρονόμου για τη συλλογή κωδικών πρόσβασης. Το πρόγραμμα περιήγησης αποθηκεύει μόνο κωδικούς πρόσβασης, όχι προσωπικά στοιχεία όπως διευθύνσεις, αριθμούς λογαριασμών και πιστωτικές κάρτες.

Ο Crandell υπογράμμισε επίσης την έλλειψη σημαντικών χαρακτηριστικών στα συστήματα κωδικών πρόσβασης που βασίζονται στο πρόγραμμα περιήγησης. Σημείωσε ότι από τα συστήματα αυτά λείπουν “η ασφαλής κοινή χρήση κωδικών πρόσβασης με συναδέλφους και την οικογένεια, η υποστήριξη βιομετρικής σύνδεσης και κλειδιών ασφαλείας, οι αναφορές σχετικά με το αν οι κωδικοί σας είναι αδύναμοι, επαναχρησιμοποιούνται ή έχουν παραβιαστεί, η ενσωμάτωση με συστήματα στην εργασία, όπως το SSO, και πολλά άλλα χαρακτηριστικά”.

Ο Smalakys δήλωσε: “Πολλά προγράμματα περιήγησης δεν απαιτούν κύριο κωδικό πρόσβασης ή έγκριση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)”. Η Google επιτρέπει τον MFA, αλλά δεν τον απαιτεί. Και, πράγματι, δεν υπάρχει κύριος κωδικός πρόσβασης. Αν φύγετε από το γραφείο σας με το Chrome ενεργό, οποιοσδήποτε έχει πρόσβαση μπορεί να συνδεθεί στους λογαριασμούς σας. Το ίδιο ισχύει και αν αφήσετε κάποιον άλλον να χρησιμοποιήσει το τηλέφωνό σας.

Τα προγράμματα περιήγησης σας κλειδώνουν

“Να είστε προσεκτικοί με το να κλειδώσετε τον εαυτό σας στον περιφραγμένο κήπο οποιασδήποτε μεγάλης εταιρείας”, προειδοποίησε ο Crandell. “Είναι σημαντικό να έχετε την ελευθερία να εργάζεστε σε όλες τις πλατφόρμες και τα περιβάλλοντα, είτε πρόκειται για προγράμματα περιήγησης, είτε για κινητά, είτε για επιτραπέζια λειτουργικά συστήματα”.

Ο Smalakys επεσήμανε τον κίνδυνο των συνδεδεμένων λογαριασμών. “Σε ένα σενάριο… που χρησιμοποιεί ένα πρόγραμμα περιήγησης Chrome, η ασφάλειά του εξαρτάται από το πόσο ασφαλής είναι ο συνδεδεμένος λογαριασμός Gmail”, είπε. “Εάν αυτός ο λογαριασμός Gmail παραβιαστεί, ένας χάκερ θα μπορούσε, χωρίς ιδιαίτερη προσπάθεια, να αποκτήσει πρόσβαση στους κωδικούς πρόσβασης όλων των άλλων λογαριασμών που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης”. Σε παρόμοιο πνεύμα, ο Lurey σημείωσε ότι: “Ο χρήστης πρέπει να εμπιστεύεται πλήρως τη Google για την προστασία των πληροφοριών του”. Εάν παραβιαστεί ο λογαριασμός σας στη Google, θα παραβιαστούν και όλοι οι κωδικοί πρόσβασης.

Ένα πρόγραμμα περιήγησης έχει σχεδιαστεί για περιήγηση- η διαχείριση κωδικών πρόσβασης είναι μια δεύτερη σκέψη. “Οι εξειδικευμένοι διαχειριστές κωδικών πρόσβασης καταβάλλουν όλη τους την προσπάθεια για την ανάπτυξη ενός ασφαλούς διαχειριστή κωδικών πρόσβασης και περνούν από ανεξάρτητους ελέγχους, προκειμένου να διασφαλίσουν αυτή την ασφάλεια”, κατέληξε ο Smalakys. Ο Crandell πρόσθεσε, λέγοντας: “Οι κορυφαίοι διαχειριστές κωδικών πρόσβασης επικεντρώνονται 100% στην ενεργοποίηση τόσο της βέλτιστης ασφάλειας όσο και των πολλών περιπτώσεων χρήσης των κωδικών πρόσβασης, οπότε είναι πιο πλούσιοι σε χαρακτηριστικά”.

Τελικό συμπέρασμα: Αποκτήστε έναν πραγματικό διαχειριστή κωδικών πρόσβασης

Το Google Password Manager δεν χρησιμοποιεί τις τεχνικές κρυπτογράφησης μηδενικής γνώσης που προστατεύουν τα δεδομένα του κωδικού πρόσβασης από όλους, συμπεριλαμβανομένης της εταιρείας διαχείρισης κωδικών πρόσβασης. Δεν χρησιμοποιεί καν έναν κύριο κωδικό πρόσβασης. Τα εξειδικευμένα εργαλεία διαχείρισης κωδικών πρόσβασης προσφέρουν πολλές δυνατότητες που δεν έχετε με ένα ενσωματωμένο πρόγραμμα περιήγησης. Και μπορείτε να χρησιμοποιήσετε το σύστημα κωδικών πρόσβασης της Google μόνο στο Chrome (ή, σε κάποιο βαθμό, στο Android). Αυτοί είναι μερικοί μόνο από τους λόγους για τους οποίους θα πρέπει να αποκτήσετε έναν πραγματικό διαχειριστή κωδικών πρόσβασης αντί να βασίζεστε στο Chrome.

Είναι φοβερά βολικό το γεγονός ότι το Google Password Manager έρχεται ως δωρεάν χαρακτηριστικό ενός δωρεάν προγράμματος περιήγησης. Αυτός δεν είναι όμως ένας αρκετά καλός λόγος για να αποδεχτείτε την περιορισμένη ασφάλεια των κωδικών πρόσβασής σας. Έχουμε αξιολογήσει πολλούς δωρεάν διαχειριστές κωδικών πρόσβασης που προσφέρουν μεγαλύτερη προστασία για τους κωδικούς σας – εμπιστευθείτε έναν από αυτούς.

Πηγή: PC Magazine

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *