Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Стоит ли сохранять пароли в браузере? | Блог Касперского
Рассказываем, почему не стоит сохранять свои пароли в браузере и почему эту задачу стоит поручить отдельному менеджеру паролей.
Сохранять пароли в браузере, чтобы каждый раз их не вводить, разумеется, очень удобно. Но насколько безопасно так делать? В этом посте мы обсудим три причины не хранить пароли в браузерах, а использовать для этого более безопасный метод хранения — отдельный менеджер паролей.
1. Вредоносное ПО — стилеры паролей
Главная проблема хранения паролей в браузерах в том, что браузеры приносят безопасность в жертву удобству использования. Это справедливо как минимум для тройки самых популярных браузеров, которые использует подавляющее большинство людей: Google Chrome, Mozilla Firefox и Microsoft Edge — эти браузеры хранят пароли пользователя крайне небезопасно.
Дело в том, что все браузеры записывают пароли в очень предсказуемом месте — в папке, путь до которой всем прекрасно известен. И хотя пароли зашифрованы, недалеко от них хранится и ключ шифрования, доступ к которому может получить кто угодно. Используя этот ключ, пароли можно расшифровать и украсть. Получается смешная ситуация: дверь вроде бы достаточно надежно заперта, вот только ключ лежит под половичком, и все об этом прекрасно знают — заходи кто хочешь.
Собственно, этим фактом пользуются и сами браузеры для конкуренции друг с другом: чтобы упростить пользователю переезд, они часто предлагают импортировать все его сохраненные данные из старого браузера — включая и запомненные этим старым браузером пароли.
А знаете, кто еще пользуется этой интересной особенностью популярных браузеров? Целый класс вредоносного ПО, который называется стилерами (на английском — password stealers) и специализируется на поиске и краже учетных данных. Такие зловреды ходят по хорошо известным папкам, в которых лежат сохраненные браузером пользовательские пароли, ищут ключи рядом под половичком, а потом расшифровывают пароли и заливают все найденное на сервер злоумышленников. Дальше эти пароли обычно собирают в базу и оптом продают в даркнете, а уже какие-нибудь другие жулики используют их для угона аккаунтов — в киберпреступном мире давно развита узкая специализация.
Чтобы понять, насколько просто угнать пароли, сохраненные в браузере, рекомендуем посмотреть демонстрацию того, как с помощью скрипта на питоне можно легко и быстро извлечь пароли, сохраненные в Chrome, Firefox и Edge, — в ней все очень наглядно показано.
2. Физический доступ к компьютеру
Кстати, то же самое может проделать не только специально обученное вредоносное ПО, но и любой человек, получивший физический доступ к вашему компьютеру. Великим хакером для этого быть не обязательно — скрипты, необходимые для извлечения паролей из браузера, можно без особых проблем найти в Интернете, останется лишь их запустить.
Так может поступить излишне любопытный родственник или коллега на работе, если вы оставите компьютер незаблокированным. Или зашедший на разведку в офис вашей компании хакер — в целом это может быть кто угодно, важно то, что все сохраненные в браузере пароли окажутся в чьих-то чужих руках.
И даже если у такого человека не будет при себе скриптов для извлечения паролей из сохраненного браузером файла, он может посмотреть в настройках список сайтов, к которым сохранены пароли, и зайти на любой из них, чтобы почитать вашу переписку или ознакомиться еще с какими-нибудь тайнами.
В самом популярном в мире браузере — речь, конечно же, о Google Chrome — нет даже базового механизма, с помощью которого можно как-то воспрепятствовать таким действиям. А создатели Firefox хотя и догадались дать пользователям возможность защитить сохраненные пароли с помощью так называемого основного пароля, но оставили эту опцию выключенной по умолчанию. Основной пароль надо подключать и настраивать специально, и, скорее всего, о самом наличии такой возможности подозревают немногие пользователи Firefox.
3. Угон аккаунта браузера
Следующая проблема характерна для всех браузеров, которые предлагают пользователю для его удобства создать аккаунт для синхронизации браузеров на разных устройствах. Синхронизируются при этом как закладки, браузерные сессии, расширения и настройки, так и сохраненные пароли, — и все это хранится в облаке. И если злоумышленник взломает ваш браузерный аккаунт, ему достаточно будет просто залогиниться на другом компьютере с той же учетной записью. После этого он сможет угнать у вас вообще все учетки, пароли от которых вы сохраняли, — от социальных сетей до онлайн-банков.
Почему менеджер паролей лучше, чем браузер
Как и браузеры, Kaspersky Password Manager запоминает ваши учетные данные и позволяет автоматически подставлять их при входе на том или ином сайте. Однако, в отличие от разработчиков браузеров, мы не идем на компромиссы, когда дело касается безопасности. В нашем менеджере паролей мастер-пароль используется по умолчанию и отключить его нельзя — в любой момент времени все сохраненные пароли защищены. Поэтому, даже если кто-то получит физический доступ к вашему компьютеру, он не сможет просто так взять и зайти на сайт, логин и пароль к которому сохранены в менеджере. Для этого надо знать мастер-пароль, а знаете его только вы — разумеется, если вы не записали его на стикере и не приклеили к экрану.
Следующее преимущество Kaspersky Password Manager: естественно, все пароли наше приложение хранит только в зашифрованном виде. Но самое главное — мы не храним ключ для их расшифровки «под половичком». Ключ шифрования генерируется «на лету» с помощью шифровального алгоритма AES-256 на основе мастер-пароля, и это позволяет нам вообще его не хранить, нигде и никогда. Так что даже если на ваш компьютер проберется зловред-стилер, у него ничего не получится — все пароли надежно зашифрованы. Кстати, если вы используете Kaspersky Password Manager в составе Kaspersky Premium, то и зловреда мы даже на порог не пустим.
И, наконец, последнее. Разумеется, для синхронизации паролей между устройствами мы используем облако — все пароли привязаны к учетной записи My Kaspersky. Но даже если кто-то сможет каким-либо образом получить доступ к этой учетке, сохраненные в Kaspersky Password Manager пароли ему не достанутся. Дело в том, что и в облаке они хранятся исключительно в зашифрованном виде, а ключ для их расшифровки генерируется на основе мастер-пароля, известного только пользователю, — без него опять ничего не выйдет.
Кстати, недавно мы обновили Kaspersky Password Manager и добавили в него поддержку браузеров Opera и Opera GX, которые продолжают набирать популярность у пользователей. Так что теперь мы поддерживаем все самые популярные браузеры: Chrome (и браузеры на основе Chromium), Safari, Firefox, Edge и Opera.
Источник: Лаборатория Касперского
15.08.2023