Sleutel wegneemetes
- Google het die wagwoordbestuurder opgedateer wat in sy Chrome-webblaaier en Android-bedryfstelsel ingebou is.
- Die maatskappy beweer die nuwe kenmerke bring dit nader aan derdeparty-wagwoordbestuurders.
- Sekuriteitskenners waarsku egter teen die berging van geloofsbriewe in 'n webblaaier.
Soos dikwels die geval is met tegnologie, gaan gerief ten koste van sekuriteit.
Google het nuttige kenmerke by die ingeboude wagwoordbestuurder in Chrome en Android gevoeg wat dit 'n regte alternatief vir toegewyde wagwoordbestuurders maak. Dit is egter nie genoeg om sekuriteitskenners te oortuig om blaaiers te vertrou om wagwoorde te stoor nie.
"Ek is nie 'n aanhanger daarvan om wagwoorde in enige webblaaier te stoor nie," het Chris Hauk, kampioen vir verbruikersprivaatheid by Pixel Privacy, per e-pos aan Lifewire gesê. "Dit is egter veral waar van 'n blaaier soos Chrome, wat in die verlede talle sekuriteits- en privaatheidskendings gely het."
Wrong Tool for the Job
In 'n e-posuitruiling met Lifewire, het Dahvid Schloss, Managing Lead, Offensive Security, by Echelon Risk + Cyber, gesê die ontplooiing van die Google-wagwoordbestuurder blyk 'n baie lekker gebruiksgemak-toepassing te skep om te deel tussen 'n gebruiker se toestelle. "Maar op die einde van die dag is die toepassing net so veilig soos die minste veilige toestel wat dit gebruik."
Stephanie Benoit-Kurtz, Hooffakulteit vir die Kollege vir Inligtingstelsels en Tegnologie aan die Universiteit van Phoenix, het ingestem. In 'n e-pos het sy aan Lifewire gesê dat alhoewel blaaiers 'n lang pad gevorder het om gebruikers 'n vereenvoudigde ervaring te bied wanneer hulle aanmeldings en wagwoorde op webwerwe stoor, is dit 'n gladde helling om dit te gebruik om wagwoorde te stoor.
Benoit-Kurtz het spesifiek twee probleme uitgewys met die stoor van wagwoorde in blaaiers. Die eerste is enkripsie, aangesien webblaaiers afhanklik is van die toestelkonfigurasie vir enkripsie-instellings. Sy het gesê algemene gebruikers besef nie die belangrikheid van enkripsie ten volle om hul toestelle te beskerm nie.
"Die tweede uitdaging is dat as 'n toestel met jou blaaier-instellings gesteel word of in iemand anders se hande val deur inbraak, die slegte akteur toegang kan hê tot al die aanmeld- en wagwoorddata vir stelsels," het Benoit-Kurtz gesê.
Sy het ook erken dat hoewel blaaiers 'n lang pad met sekuriteit gevorder het, mense steeds moet tred hou met alle regstellings en die nodige instandhouding om hulle veilig te hou. Selfs dan is daar nul-dag-bedreigings wat selfs volledig opgedateerde blaaiers kwesbaar kan maak.
Schloss het erken dat hoewel hy nog nie met Chrome se opgedateerde wagwoordbestuurder gepeuter het nie, dit nie blyk of dit 'n addon-module tot Chrome is nie.
"Dit beteken dat dit baie moontlik is dat dit nie die kwessie van gewone teksberging sal oplos wat deur bedreigingsakteurs misbruik is en word nie," het Schloss verduidelik, "wat daartoe lei dat al jou wagwoorde oortree word as 'n bedreigingsakteur was reeds op jou toestel."
… die toepassing is net so veilig soos die minste veilige toestel wat dit gebruik.
Bel 'n spesialis
Pleks daarvan om blaaiers te gebruik om geloofsbriewe te stoor, beveel ons kenners aan om gespesialiseerde nutsmiddels te gebruik wat uitdruklik geskep is vir die stoor van wagwoorde.
"Vir 'n veiliger opsie, evalueer meer gevorderde tegnologie soos wagwoordkluise om aanmeldings en wagwoorde veilig te hou," het Benoit-Kurtz voorgestel. "Hierdie nutsmiddels word tipies as 'n intekening verkoop en verskaf enkripsie, multifaktor-verifikasie (MFA) en ander tegnologieë wat nodig is om aanmeldings en wagwoorde te beskerm."
Hauk maak staat op die 1Password-wagwoordbestuurder, wat hy uitwys op mees gewilde platforms en toepassings werk en geloofsbriewe veilig in 'n goed geënkripteerde databasis berg.
"Wagwoordbestuurders stel jou in staat om sterk, komplekse wagwoorde te skep sonder om die geheue van 'n olifant te hê," het Schloss gesê, "en die meeste van hulle bied 'n mate van oortredingsmonitering om jou te laat weet wanneer jy 'n werf moet verander wagwoord."
Schloss gebruik Keeper en Last Pass vir sy huis- en werktoestelle, maar stel voor dat hoewel hulle albei hul voordele het, die meeste mense nie twee wagwoordbestuurders hoef te gebruik nie.
Hy het aangevoer dat die meeste van die gewilde ondersteuning vir kruistoestelle het wat dit gerieflik maak om te gebruik. Terwyl baie jou geloofsbriewe op 'n derdeparty-bediener stoor, is die data end-tot-end geënkripteer, wat beteken dat jou wagwoorde veilig is selfs as kuberkrakers jou wagwoordbestuurder se bedieners oortree.
"Dit gesê, enige wagwoordbestuurder is beter as geen wagwoordbestuurder nie," het Schloss aangeraai. Hy het daarop gewys dat die hergebruik van wagwoorde baie gevaarliker is en 'n verskriklike praktyk is om aan die gewoonte te kom.
"In die geval van byvoorbeeld 'n werf wat oortree word en die bedreiging-akteurs toegang tot jou wagwoord kry, kan hulle dieselfde wagwoord gebruik om toegang tot jou ander rekeninge te verkry," het Schloss gewaarsku. "Jy het op daardie stadium vir hulle die sleutels van jou kasteel gegee."