Key Takeaway
- Google telah mengemas kini pengurus kata laluan terbina dalam penyemak imbas web Chrome dan sistem pengendalian Androidnya.
- Syarikat mendakwa ciri baharu membawanya lebih dekat kepada pengurus kata laluan pihak ketiga.
- Pakar keselamatan, bagaimanapun, memberi amaran agar tidak menyimpan bukti kelayakan dalam penyemak imbas web.
Seperti yang sering berlaku dalam teknologi, kemudahan datang dengan mengorbankan keselamatan.
Google telah menambahkan ciri berguna pada pengurus kata laluan terbina dalam dalam Chrome dan Android yang menjadikannya alternatif sebenar kepada pengurus kata laluan khusus. Walau bagaimanapun, ini tidak mencukupi untuk meyakinkan pakar keselamatan agar mempercayai penyemak imbas untuk menyimpan kata laluan.
"Saya bukan peminat menyimpan kata laluan dalam mana-mana penyemak imbas web," Chris Hauk, juara privasi pengguna di Pixel Privacy, memberitahu Lifewire melalui e-mel. "Walau bagaimanapun, ini terutama berlaku untuk penyemak imbas seperti Chrome, yang telah mengalami banyak pelanggaran keselamatan dan privasi pada masa lalu."
Alat yang Salah untuk Kerja
Dalam pertukaran e-mel dengan Lifewire, Dahvid Schloss, Managing Lead, Offensive Security, at Eselon Risk + Cyber, berkata pelancaran pengurus kata laluan google nampaknya mencipta aplikasi mudah digunakan yang sangat bagus untuk dikongsi antara peranti pengguna. "Tetapi pada penghujung hari, aplikasi itu hanya selamat seperti peranti paling tidak selamat yang menggunakannya."
Stephanie Benoit-Kurtz, Fakulti Utama untuk Kolej Sistem Maklumat dan Teknologi di Universiti Phoenix, bersetuju. Dalam e-mel, dia memberitahu Lifewire bahawa walaupun penyemak imbas telah pergi jauh dalam menyediakan pengguna dengan pengalaman yang dipermudahkan apabila menyimpan log masuk dan kata laluan ke tapak web, menggunakannya untuk menyimpan kata laluan adalah cerun yang licin.
Benoit-Kurtz secara khusus menunjukkan dua isu dengan menyimpan kata laluan dalam penyemak imbas. Yang pertama ialah penyulitan, kerana pelayar web bergantung pada konfigurasi peranti untuk tetapan penyulitan. Beliau berkata pengguna umum tidak menghargai sepenuhnya kepentingan penyulitan dalam melindungi peranti mereka.
"Cabaran kedua ialah jika peranti dengan tetapan penyemak imbas anda dicuri atau jatuh ke tangan orang lain melalui penggodaman pelakon jahat itu mungkin mempunyai akses kepada semua data log masuk dan kata laluan ke sistem," kata Benoit-Kurtz.
Dia juga mengakui bahawa walaupun penyemak imbas telah mencapai tahap keselamatan yang jauh, orang ramai masih perlu mengikuti semua tampung dan penyelenggaraan yang diperlukan untuk memastikan ia selamat. Walaupun begitu, terdapat ancaman sifar hari yang boleh menyebabkan penyemak imbas yang dikemas kini sepenuhnya terdedah.
Schloss mengakui bahawa walaupun dia belum lagi memikirkan pengurus kata laluan Chrome yang dikemas kini, ia nampaknya bukan modul tambahan kepada Chrome.
"Ini bermakna kemungkinan besar ini tidak akan menyelesaikan isu storan teks biasa yang telah dan sedang disalahgunakan oleh pelakon ancaman," jelas Schloss, "membawa kepada semua kata laluan anda dilanggar jika pelakon ancaman sudah ada pada peranti anda."
… aplikasi hanya selamat seperti peranti paling selamat yang menggunakannya.
Hubungi Pakar
Daripada menggunakan penyemak imbas untuk menyimpan bukti kelayakan, pakar kami mengesyorkan menggunakan alat khusus yang dibuat secara eksplisit untuk menyimpan kata laluan.
"Untuk pilihan yang lebih selamat, nilaikan teknologi yang lebih canggih seperti peti besi kata laluan untuk memastikan log masuk dan kata laluan selamat," cadang Benoit-Kurtz. "Alat ini biasanya dijual sebagai langganan dan menyediakan penyulitan, pengesahan berbilang faktor (MFA) dan teknologi lain yang diperlukan untuk melindungi log masuk dan kata laluan."
Hauk bergantung pada pengurus kata laluan 1Password, yang ditunjukkannya berfungsi merentas platform dan apl yang paling popular serta menyimpan bukti kelayakan dengan selamat dalam pangkalan data yang disulitkan dengan baik.
"Pengurus Kata Laluan membolehkan anda mencipta kata laluan yang kukuh dan kompleks tanpa ingatan gajah, " kata Schloss, "dan kebanyakannya menyediakan beberapa tahap pemantauan pelanggaran untuk memberitahu anda apabila anda perlu menukar tapak kata laluan."
Schloss menggunakan Keeper dan Last Pass untuk peranti rumah dan tempat kerjanya, tetapi mencadangkan walaupun kedua-duanya mempunyai kelebihan, kebanyakan orang tidak perlu menggunakan dua pengurus kata laluan.
Beliau berpendapat bahawa kebanyakan yang popular mempunyai sokongan merentas peranti yang memudahkan untuk digunakan. Walaupun ramai yang menyimpan bukti kelayakan anda pada pelayan pihak ketiga, data disulitkan dari hujung ke hujung, yang bermaksud kata laluan anda selamat walaupun penggodam melanggar pelayan pengurus kata laluan anda.
"Maksudnya, mana-mana pengurus kata laluan adalah lebih baik daripada tiada pengurus kata laluan," nasihat Schloss. Dia menegaskan bahawa menggunakan semula kata laluan adalah lebih berbahaya dan amalan yang mengerikan untuk dibiasakan.
"Sebagai contoh, sekiranya tapak dilanggar dan pelaku ancaman mendapat akses kepada kata laluan anda, mereka boleh menggunakan kata laluan yang sama untuk mendapatkan akses kepada akaun anda yang lain," amaran Schloss. "Anda memberi mereka kunci istana anda pada ketika itu."