برنامه های مدیریت رمز عبور از دهه 90 وجود داشته اند و مرورگرهای اصلی در اوایل دهه 2000 مدیریت رمز عبور را به عنوان یک ویژگی داخلی اضافه کردند.از آن زمان تاکنون، ما در PCMag توصیه کرده ایم که رمزهای عبور خود را از حافظه مرورگر ناامن خارج کرده و به یک مدیر رمز عبور مناسب و محافظت شده تبدیل کنید.درادامه، می توانیم به مدیران رمزعبور اشاره کنیم که رمزهای عبور را از مرورگر شما استخراج می کنند، آن ها را از مرورگر حذف می کنند و ثبت رمزعبور مبتنی بر مرورگر را خاموش می کنند.البته به نظر ایمن نمی رسد!
خوشبختانه مرورگرها پیشرفت کرده اند و دیگر رمزهای عبور شما را تا این حد در معرض دستکاری های خارجی قرار نمی دهند.برای مثال اگر می خواهید به یک مدیر رمز عبور اختصاصی روی بیاورید، احتمالا باید به طور فعال رمزهای عبور را از مرورگر استخراج کرده و آن ها را در محصول جدید خود وارد کنید.
اما آیا مرورگرها به اندازه کافی پیشرفت کرده اند که بتوانیم ذخیره رمزهای عبور شما را در آن ها توصیه کنیم؟ به طور خاص، آیا باید از Google Password Manager استفاده کنید که به راحتی در کروم ساخته شده است؟ به گفته کارشناسان، پاسخ این سوال منفی است.
سرتیتر مطالب
- 1 حتی مدیران گذرواژه اختصاصی نیز ممکن است نشت کنند
- 2 نحوه فعال یا غیرفعال کردن Google Password Manager
- 3 آنچه کارشناسان درباره مدیریت رمز عبور مرورگرها می گویند
- 4 مدیران رمز عبور مرورگر مناسب اما خطرناک هستند
- 5 مدیران گذرواژه ویژگی های بیشتری دارند
- 6 مرورگرها شما را قفل می کنند
- 7 خلاصه، یک نرم افزار مدیر رمز عبور واقعی دریافت کنید
حتی مدیران گذرواژه اختصاصی نیز ممکن است نشت کنند
برای شرکتی که بر پایه مدیریت رمز عبور بنا شده، اعتماد همه چیز است.رقبای جدی از تکنیک های دانش صفر برای محافظت از داده های رمزنگاری شده شما استفاده می کنند تا هیچ کس – نه شرکت رمز عبور، نه دولت، نه هیچ کس – نتواند رمز عبور اصلی شما را بداند یا داده های شما را رمزگشایی کند.
با این حال، خطا در پیاده سازی می تواند امنیت رمز عبور را به خطر بیندازد.در مجموعه ای از افشاگری ها که از ماه آگوست گذشته آغاز شد، متوجه شدیم که هکرها برای سرقت تعداد نامعلومی از گاوصندوق های داده رمزگذاری شده، کامپیوتر یکی از کارمندان کلیدی LastPass را به خطر انداخته اند.بدتر از آن، برخی از عناصر داده ای مهم مانند دامنه های لاگین رمزگذاری نشده اند.حالا دیگر اعتماد به LastPass سخت است
KeePass به دلیل امکانات بی پایان برای شخصی سازی، مدیر رمز عبور مورد علاقه کاربران است.با این حال، همین قدرت شخصی سازی به عنوان نوعی پاشنه آشیل آشکار شده است.هر کسی که به کامپیوتر شما دسترسی پیدا کند، چه با استفاده از یک تروجان دسترسی از راه دور و چه با نشستن در غیاب شما، می تواند تمام رمزهای عبور کیف پول شما را بدزدد.استفاده از Notepad برای ایجاد یک عمل ساده است که رمزهای عبور را به متن ساده تبدیل می کند و سپس داده های حاصل را به یک قطره در اینترنت ارسال می کند.مسلما، دستیابی به دسترسی مورد نیاز می تواند سخت باشد، اما اکسپلویت امکان پذیر است.یا بهتر بگوییم، امکان پذیر است.آخرین به روزرسانی KeePass با شماره 2.53.1، امکان صدور رمز عبور بدون نیاز به وارد کردن رمز عبور اصلی را حذف کرد.
نحوه فعال یا غیرفعال کردن Google Password Manager
قبل از اینکه وارد این موضوع شوید که آیا باید از Google Password Manager استفاده کنید یا خیر، بیایید نحوه خاموش کردن آن را بررسی کنیم (یا اگر این انتخاب شما است، آن را خاموش کنیم).ابتدا مطمئن شوید که در تمام نمونه های کروم که می خواهید رمزهای عبور را به اشتراک بگذارید، Sync را فعال کرده اید.روی منوی سه نقطه در بالای سمت راست پنجره کروم کلیک کنید، سپس روی Settings کلیک کنید.مورد بالا در منوی سمت چپ با عنوان You and Google باید در ابتدا انتخاب شود؛ در غیر این صورت، روی آن کلیک کنید.در دیالوگ حاصل، می توانید همگام سازی را روشن یا خاموش کنید.
حالا روی Autofill، درست زیر You and Google کلیک کرده و روی Password Manager کلیک کنید.اگر می خواهید از Google Password Manager استفاده کنید، گزینه های Save Passwords و Auto Sign – in را روشن کنید.اگر نه، آن ها را خاموش کنید
برای آشنایی بیشتر می توانید مقاله چگونگی تسلط بر Google Password Manager را مطالعه کنید.نه، ما از نقطه نظر امنیتی آن را توصیه نمی کنیم؛ اما، بله، می دانیم که برخی افراد امنیت را فدای راحتی می کنند.
آنچه کارشناسان درباره مدیریت رمز عبور مرورگرها می گویند
برای تکمیل دانش و تجربه خود، از متخصصان چندین شرکت معروف مدیریت رمز عبور تجاری، از جمله کریگ لوری، یکی از موسسان و CTO of Keeper؛ NordPass CTO Tomas Smalakys؛ و مایکل کرندل، مدیرعامل Bitwarden دعوت کردم.
مدیران رمز عبور مرورگر مناسب اما خطرناک هستند
Smalakys با هشدار نسبت به استفاده از مدیر رمز عبور مرورگر گفت: “علی رغم هشدارهای مداوم کارشناسان امنیت سایبری در مورد آسیب پذیری های مدیران رمز عبور مرورگر، کاربران اینترنت همچنان در دام” اما راحت است! لوری با اشاره به اینکه پست اخیر وبلاگ Keeper فهرستی بلند بالا از چرایی ایمن نبودن پسوردهای مرورگر را منتشر کرده است، با این نظر موافق است.
رمزنگاری دانش صفر دلیلی است که مدیران رمز عبور اختصاصی می توانند بدون دسترسی به رمز عبور اصلی شما، داده های شما را ایمن نگه دارند.لوری بیان کرد: مدیر رمز عبور گوگل از رمزنگاری دانش صفر استفاده نمی کند.” در اصل، گوگل می تواند هر چیزی که ذخیره می کنید را ببیند.آن ها یک ویژگی “اختیاری” برای فعال کردن رمزگذاری روی دستگاه رمزهای عبور دارند، اما حتی در صورت فعال شدن، کلید رمزگشایی اطلاعات روی دستگاه ذخیره می شود.”
Smalakys تایید کرد که داده های ذخیره شده در مرورگر مانند داده های مدیر رمز عبور محافظت نمی شوند.وی خاطرنشان کرد: هکرها از روش های مهندسی اجتماعی برای فریب کاربران اینترنت برای دانلود اکستنشن های جدید استفاده می کنند که به راحتی می توانند داده های ذخیره شده در مرورگر را استخراج کنند.او در ادامه گفت: ” در حالی که هیچ مشکلی در ذخیره ابری رمزهای عبور وجود ندارد، یک شرکت باید اطمینان حاصل کند که داده های کاربران قبل از ذخیره در فضای ابری رمزگذاری می شوند.بنابراین، کاربران اینترنت باید ارائه دهنده سرویسی را انتخاب کنند که رمزنگاری انتها به انتها را تضمین کند.”
کرندل گوگل را به باد انتقاد گرفت و گفت: “هر مدیر رمز عبوری بهتر از مدیر رمز عبور نیست” اما در ادامه هشدار داد: ” محدودیت مدیران رمز عبور مبتنی بر مرورگر این است که آن ها تنها در یک باغ محصور کار می کنند.اگر روزی نیاز به فعالیت در مرورگری دیگر یا محیطی داشته باشید که آن مرورگر به آن دسترسی نداشته باشد، شانس با شما یار نیست.”
مدیران گذرواژه ویژگی های بیشتری دارند
لوری فهرستی از روش های ساده ای را ارائه کرد که در آن ها مدیر رمز عبور داخلی کروم استانداردهای برنامه های مدیریت رمز عبور اختصاصی را رعایت نمی کند.برای شروع، این مرورگر مخصوص کروم است؛ اگر از مرورگر دیگری استفاده می کنید، در صدر جدول قرار دارید.هیچ گزینه ای برای اشتراک گذاری امن رمزهای عبور و همچنین ایجاد یک وارث دیجیتال برای جمع آوری رمز عبور شما وجود ندارد.این مرورگر تنها رمزهای عبور را ذخیره می کند، نه اطلاعات شخصی مانند آدرس ها، شماره حساب ها و کارت های اعتباری.
کرندل همچنین بر فقدان ویژگی های مهم در سیستم های رمز عبور مبتنی بر مرورگر تاکید کرد.او اشاره کرد که چنین سیستم هایی فاقد ” اشتراک گذاری امن رمزهای عبور با همکاران و خانواده، پشتیبانی از ورود بیومتریک و کلیدهای امنیتی، گزارش هایی در مورد ضعیف بودن، استفاده مجدد یا نقض شدن رمزهای عبور، ادغام با سیستم های کاری مانند SSO و بسیاری ویژگی های دیگر هستند.
Smalakys گفت: ” بسیاری از مرورگرها نیازی به رمز عبور اصلی یا تاییدیه احراز هویت چند عاملی (MFA)ندارند.”و در واقع هیچ رمز عبور اصلی وجود ندارد.اگر میز کار خود را با کروم فعال بگذارید، هر کسی که به آن دسترسی داشته باشد می تواند وارد حساب های شما شود.اگر اجازه دهید شخص دیگری از گوشی شما استفاده کند، همین موضوع صادق است.
مرورگرها شما را قفل می کنند
کرندل هشدار داد: ” مراقب باشید خودتان را در باغ محصور شرکت های بزرگ حبس کنید.”” داشتن آزادی کار در تمام پلتفرم ها و محیط ها، چه مرورگرها، چه موبایل و چه سیستم عامل های دسکتاپ مهم است.”
اسمالاکیس به خطر حساب های متصل اشاره کرداو گفت: ” در یک سناریو… با استفاده از مرورگر کروم، امنیت آن به میزان امنیت حساب جیمیل متصل شده بستگی دارد.”لوری در همین رابطه خاطرنشان کرد: ” اگر این حساب جیمیل به خطر بیافتد، یک هکر می تواند بدون تلاش زیاد، به تمام رمزهای عبور حساب های دیگر ذخیره شده در مرورگر دسترسی پیدا کند.
مرورگری برای مرور طراحی شده است؛ مدیریت رمز عبور امری ضروری استاسمالاکیس در پایان گفت: مدیران رمز عبور تمام تلاش خود را به کار می گیرند تا مدیر رمز عبوری را توسعه دهند که امن باشد و حسابرسی های مستقلی را پشت سر بگذارد تا از امنیت آن اطمینان حاصل شود.کرندل نیز نظر مشابهی را ارائه کرد و گفت: ” مدیران ارشد رمز عبور 100 درصد بر روی ایجاد ایمنی بهینه و موارد استفاده زیاد برای رمزهای عبور تمرکز می کنند، بنابراین ویژگی های غنی تری دارند.
خلاصه، یک نرم افزار مدیر رمز عبور واقعی دریافت کنید
مدیر گذرواژه گوگل از تکنیک های رمزنگاری دانش صفر استفاده نمی کند که از داده های گذرواژه در برابر همه از جمله شرکت مدیر گذرواژه محافظت می کند.حتی از رمز عبور اصلی هم استفاده نمی کندابزارهای رمز عبور اختصاصی ویژگی های زیادی را ارائه می دهند که با یک مرورگر داخلی نمی توانید از آن ها استفاده کنید.و تنها می توانید از سیستم رمز عبور گوگل در کروم (یا تا حدودی اندروید)استفاده کنید.این ها تنها چند مورد از دلایلی هستند که به جای تکیه بر کروم باید یک مدیر رمز عبور واقعی داشته باشید.
بسیار مناسب است که Google Password Manager به عنوان یک ویژگی رایگان یک مرورگر رایگان عرضه شود.با این حال، این دلیل کافی برای پذیرش امنیت محدود برای رمزهای عبور شما نیست.ما تعداد زیادی از مدیران رمز عبور رایگان را مورد ارزیابی قرار داده ایم که محافظت جدی از رمزهای عبور شما را با همان قیمت صفر دلار ارائه می دهند – به جای آن ها از یکی از آن ها استفاده کنید.
بدون دیدگاه