Почему небезопасно хранить пароли в браузерах?

  1. Риски хранения паролей в браузерах
  2. Получается, хранить пароли в браузере нельзя?

У всех современных браузеров существует функция хранения пользовательских логинов и паролей, вводимых в формы авторизации на различных сайтах. Несомненно, это удобно. Ввел пароль один раз, дал браузеру согласие на его сохранение, и теперь все следующие входы на сайт не потребуют ручного ввода данных авторизации. Но так ли это безопасно? Попробуем во всем разобраться.

Риски хранения паролей в браузерах

Самый большой риск хранения данных авторизации в браузерах связан с тем, что к паролям легко получить доступ. В основном, конечно, риск создает сам пользователь из-за своей забывчивости. Стоит на минуту оставить компьютер без присмотра и кто угодно сможет за несколько секунд скопировать все логины и пароли. Этим «кем угодно» может оказаться офисный сотрудник, работник отеля или даже члены семьи (практически все пользователи ПК прячут определенную информацию даже от своих мам, пап, детей, братьев, сестер и т.д.).

А сделать это можно при помощи специальных программ. В статье Как посмотреть сохраненные пароли в Opera? подробно рассмотрены все доступные способы получения доступа к сохраненным паролям в браузере Opera, в т.ч. и при помощи специальных утилит.

Справедливости ради отметим, что во всех браузерах присутствует функция защиты базы данных с логинами и паролями путем шифрования файла, в котором те хранятся. По умолчанию эта функция всегда отключена, потому многие пользователи вообще не знают о ее существовании. Но даже если активировать шифрование файла с паролями, то риск их утечки в третьи руки все равно сохраняется. Вот почему:

  • Когда пользователь использует опцию автозаполнения форм авторизации, браузер просит ввести мастер-ключ, без которого получить доступ к паролям будет нельзя.
  • После успешного ввода этого ключа база данных с паролями остается разблокированной (какое-то время либо до закрытия браузера).
  • Теперь любой, кто усядется за компьютер, сможет легко войти в настройки браузера и экспортировать оттуда все пароли.

Однако и это еще не весь перечень угроз. Согласно многим авторитетным источникам в сети, пароли из браузеров могут быть похищены злоумышленниками в процессе синхронизации веб-обозревателя с удаленным сервером (если такая функция, конечно, включена). И это с учетом того, что браузеры передают пользовательские данные в зашифрованном виде. Злоумышленники могут перехватывать трафик от компьютера до серверов разработчиков браузеров, а затем применить к ним разнообразные методы взлома шифрования. Защититься от подобных утечек можно, разве что, путем использования в качестве шифровального мастер-ключа сложной парольной фразы, но это делает далеко не каждый пользователь.

Получается, хранить пароли в браузере нельзя?

Браузеры никак не назвать надежным местом для хранения конфиденциальной информации, особенно если речь идет о данных, например, от личного кабинета онлайн-банка. Существующая у них функция сохранения паролей, позволяющая также автоматически заполнять формы авторизации, создана, скорее, для удобства. Везде и всюду на этот счет советуют использовать специальное программное обеспечение — менеджеры паролей. Даже у самой простой такой программы больше функций обеспечения безопасности, чем у всех браузеров вместе взятых.

Но многие пользователи находят использование менеджеров неудобным. В основном это связано с тем, что их приходится запускать отдельно от браузера, да и функция автозаполнения веб-форм присутствует не у каждой из таких программ. Но некоторые менеджеры паролей лишены этих недостатков. Взять, к примеру, программу MultiPassword. Точнее не саму ее, а только веб-версию — расширение для браузера.

Расширение для браузера MultiPassword1

MultiPassword интегрируется в интернет-обозреватель, позволяя заменить собой (если пользователь даст разрешение) стандартную функцию автоматического сохранения паролей и автозаполнения веб-форм. Пароли расширение хранит как на компьютере, так и на удаленном сервере. Но для защиты пользовательских данных используется не только мастер-пароль, а еще и специальный секретный ключ, который генерируется автоматически (что, в свою очередь, исключает возможность доступа к базе со стороны разработчиков программы). Другими словами, даже если злоумышленники перехватят трафик, им потребуется сотни лет, чтобы достать из кучи перехваченных данных ценные сведения.

Более подробную информацию о MultiPassword и других менеджерах паролей можно почерпнуть из нашей статьи Программы для хранения паролей.

Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.

Категории