Key takeaways
- Google har oppdatert passordbehandlingen innebygd i Chrome-nettleseren og Android-operativsystemet.
- Selskapet hevder at de nye funksjonene bringer det nærmere tredjeparts passordbehandlere.
- Sikkerhetseksperter advarer imidlertid mot å lagre legitimasjon i en nettleser.
Som ofte er tilfellet med teknologi, går bekvemmelighet på bekostning av sikkerhet.
Google har lagt til nyttige funksjoner i den innebygde passordbehandleren i Chrome og Android som gjør den til et reelt alternativ til dedikerte passordbehandlere. Dette er imidlertid ikke nok til å overbevise sikkerhetseksperter om å stole på at nettlesere lagrer passord.
"Jeg er ikke en fan av å lagre passord i noen nettleser," sa Chris Hauk, personvernforkjemper for forbrukere hos Pixel Privacy, til Lifewire via e-post. "Men dette gjelder spesielt for en nettleser som Chrome, som har vært utsatt for mange sikkerhets- og personvernbrudd tidligere."
Feil verktøy for jobben
I en e-postutveksling med Lifewire sa Dahvid Schloss, Managing Lead, Offensive Security, hos Echelon Risk + Cyber at utrullingen av Google Password Manager ser ut til å skape en veldig fin brukervennlig applikasjon å dele mellom en brukers enheter. "Men til syvende og sist er applikasjonen bare så sikker som den minst sikre enheten som bruker den."
Stephanie Benoit-Kurtz, ledende fakultet for College of Information Systems and Technology ved University of Phoenix, var enig. I en e-post fort alte hun Lifewire at selv om nettlesere har kommet langt med å gi brukere en forenklet opplevelse når de lagrer pålogginger og passord til nettsteder, er det en glatt skråning å bruke dem til å lagre passord.
Benoit-Kurtz påpekte spesifikt to problemer med lagring av passord i nettlesere. Den første er kryptering, siden nettlesere avhenger av enhetskonfigurasjonen for krypteringsinnstillinger. Hun sa at vanlige brukere ikke fullt ut forstår viktigheten av kryptering for å beskytte enhetene sine.
"Den andre utfordringen er at hvis en enhet med nettleserinnstillingene dine blir stjålet eller faller i noen andres hender gjennom hacking, kan den dårlige skuespilleren ha tilgang til alle påloggings- og passorddataene til systemene," sa Benoit-Kurtz.
Hun erkjente også at mens nettlesere har kommet langt med sikkerhet, må folk fortsatt holde tritt med alle patcher og nødvendig vedlikehold for å holde dem sikre. Selv da er det nulldagstrusler som kan gjøre selv fullstendig oppdaterte nettlesere sårbare.
Schloss erkjente at selv om han ennå ikke har tullet med Chromes oppdaterte passordbehandling, ser det ikke ut til å være en tilleggsmodul til Chrome.
"Dette betyr at det er godt mulig at dette ikke vil løse problemet med lagring av ren tekst som har blitt og blir misbrukt av trusselaktører," forklarte Schloss, "som fører til at alle passordene dine blir brutt hvis en trusselaktør var allerede på enheten din."
… appen er bare så sikker som den minst sikre enheten som bruker den.
Ring på en spesialist
I stedet for å bruke nettlesere til å lagre legitimasjon, anbefaler våre eksperter å bruke spesialiserte verktøy som er laget eksplisitt for lagring av passord.
"For et sikrere alternativ, evaluer mer avansert teknologi som passordhvelv for å holde pålogginger og passord sikre," foreslo Benoit-Kurtz. "Disse verktøyene selges vanligvis som et abonnement og gir kryptering, multifaktorautentisering (MFA) og annen teknologi som er nødvendig for å beskytte pålogginger og passord."
Hauk er avhengig av 1Password-passordbehandlingen, som han påpeker fungerer på de fleste populære plattformer og apper og lagrer legitimasjon i en godt kryptert database.
"Passordadministratorer lar deg lage sterke, komplekse passord uten å ha minnet til en elefant," sa Schloss, "og de fleste av dem gir et visst nivå av bruddovervåking for å fortelle deg når du trenger å endre et nettsted passord."
Schloss bruker Keeper og Last Pass for hjemme- og jobbenhetene sine, men foreslår at selv om de begge har sine fordeler, trenger de fleste ikke å bruke to passordadministratorer.
Han hevdet at de fleste av de populære har støtte på tvers av enheter som gjør dem praktiske å bruke. Mens mange lagrer legitimasjonen din på en tredjepartsserver, er dataene kryptert ende-til-ende, noe som betyr at passordene dine er trygge selv om hackere bryter passordbehandlerens servere.
"Når det er sagt, er enhver passordbehandler bedre enn ingen passordbehandler," rådet Schloss. Han påpekte at gjenbruk av passord er mye farligere og en forferdelig praksis å få en vane med.
"For eksempel, i tilfelle et nettsted blir brutt og trusselaktørene får tilgang til passordet ditt, kan de bruke det samme passordet for å få tilgang til de andre kontoene dine," advarte Schloss. "Du ga dem nøklene til slottet ditt på det tidspunktet."
