ყველა თანამედროვე ბრაუზერი საშუალებას გაძლევთ შეინახოთ და სინქრონიზაცია მოახდინოთ მომხმარებლის სახელები და პაროლები თქვენი საყვარელი ვებსაიტებისთვის. შესაძლოა, ეს არც ისე კარგი იდეაა.
შეიძლება დაგჭირდეთ ორჯერ დაფიქრდეთ, სანამ ვინმეს ნებას მისცემთ ისესხოთ თქვენი კომპიუტერი.
თქვენს დესკტოპზე სხვისი წვდომის დაშვების ყველაზე აშკარა რისკი არის ის, რომ მათ შეუძლიათ თქვენი პირადობის მოპოვება ნებისმიერი აპის გამოყენებით, სადაც უკვე შესული ხართ. მათ შეუძლიათ გააგზავნონ ხუმრობითი შეტყობინებები თქვენი ნაგულისხმევი ელ.ფოსტის კლიენტის გამოყენებით, ან გამოაცხადონ თქვენი ურყევი სიყვარული ჯასტინ ბიბერის მიმართ თქვენი შესული Twitter ანგარიშის გამოყენებით.
ეს შემაშფოთებელია, მაგრამ შორს არის ფატალური.
მაგრამ სიტუაცია საგრძნობლად გაუარესდება, თუ იყენებთ Google Chrome-ს პაროლების შესანახად და სინქრონიზაციისთვის თქვენს საყვარელ ვებსაიტებზე მარტივი შესვლისთვის. თავდამსხმელს, რომელსაც აქვს შეუზღუდავი წვდომა თქვენს კომპიუტერზე თუნდაც ერთი წუთის განმავლობაში, შეუძლია ნახოს და დააკოპიროს ყველა თქვენი შენახული პაროლი მხოლოდ ადვილად დასამახსოვრებელი პარამეტრების გვერდის მონახულებით: chrome://settings/passwords.
ეს ბმული ხსნის თქვენი შენახული პაროლის ქეშის ლოკალურ ასლს, რომელიც სინქრონიზებულია ყველა მოწყობილობასთან, სადაც შედიხართ თქვენი Google ანგარიშით.
და სასაცილო ის არის, რომ ყველას, ვინც ამ გვერდს სტუმრობს, შეუძლია ნახოს ყველა შენახული პაროლის უბრალო ტექსტური ვერსია მხოლოდ ღილაკზე დაჭერით.
შენახული პაროლის სია აჩვენებს ვებ მისამართს, მომხმარებლის სახელს და პაროლს რწმუნებათა სიგელების თითოეული შენახული ნაკრებისთვის. თავდაპირველად, შენახული პაროლი ნაჩვენებია ვარსკვლავის მწკრივის სახით. მაგრამ თუ თქვენ დააწკაპუნებთ ნიღბიან პაროლზე, ხედავთ ღილაკს "ჩვენება", რომელზეც შეგიძლიათ დააჭიროთ შენახული პაროლის დაუყოვნებლივ საჩვენებლად.
მავნე ან ბოროტი შემტევი, რომელსაც შეუძლია თქვენი კომპიუტერიდან მოკლედ მოგატყუოთ, შეუძლია დაინახოს თქვენი შენახული პაროლები, შემდეგ დახუროს პარამეტრების გვერდი. და თქვენ წარმოდგენაც არ გაქვთ, რომ თქვენი რწმუნებათა სიგელები კომპრომეტირებულია.
აი, რას ხედავს თავდამსხმელი. მე შევცვალე პაროლები და დავბუნდე მნიშვნელოვანი დეტალები ამ სკრინშოტში, მაგრამ ეს კარგად უნდა წარმოდგენას მოგცეთ პრობლემის მასშტაბზე:
ეს, რა თქმა უნდა, ახალი ფუნქცია არ არის, მაგრამ ამ საკითხს დღეს უფრო ადრე გახდა ცნობილი, როდესაც პროგრამული უზრუნველყოფის დიზაინერმა ელიოტ კემბერმა გამოაქვეყნა განცხადება სახელწოდებით „Chrome-ის გიჟური პაროლის უსაფრთხოების სტრატეგია“ მის ბლოგზე. და საკითხი უფრო მწვავე გახდა, როდესაც პოსტმა გამოიწვია დისკუსია Hacker News-ზე, სადაც Chrome-ის დეველოპერი იყო ჯასტინ შუჰი უთხრა კემბერს, არსებითად, ეს არ არის შეცდომა, ეს არის ფუნქცია:
მე ვარ Chrome ბრაუზერის უსაფრთხოების ტექნიკური ლიდერი, ასე რომ, შეიძლება დაგეხმაროთ, თუ ავხსნი ჩვენს მსჯელობას აქ. თქვენი პაროლის შენახვის ერთადერთი ძლიერი ნებართვა არის OS მომხმარებლის ანგარიში. ასე რომ, Chrome იყენებს ნებისმიერ დაშიფრულ მეხსიერებას, რომელსაც სისტემა უზრუნველყოფს, რომ თქვენი პაროლები უსაფრთხო იყოს ჩაკეტილი ანგარიშისთვის. ამის გარდა, ჩვენ აღმოვაჩინეთ, რომ OS მომხმარებლის ანგარიშის საზღვრები უბრალოდ არ არის სანდო და ძირითადად მხოლოდ თეატრია.
განვიხილოთ შემთხვევა, როდესაც ვინმე მავნებელმა მიიღო წვდომა თქვენს ანგარიშზე. ნათქვამ ცუდ ბიჭს შეუძლია თქვენი სესიის ყველა ქუქი-ფაილის გადაყრა, თქვენი ისტორიის ხელში ჩაგდება, მავნე გაფართოების ინსტალაცია თქვენი ბრაუზერის მთელი აქტივობის ჩასაჭრელად, ან დააინსტალიროს OS მომხმარებლის ანგარიშის დონის მონიტორინგის პროგრამული უზრუნველყოფა. ჩემი აზრი ის არის, რომ მას შემდეგ, რაც ცუდმა ბიჭმა მიიღო წვდომა თქვენს ანგარიშზე, თამაში დაიკარგა, რადგან უბრალოდ ძალიან ბევრი ვექტორია იმისათვის, რომ მიიღოს ის, რაც მას სურს.
ჩვენ ასევე არაერთხელ გვკითხეს, რატომ არ ვუჭერთ მხარს მხოლოდ მთავარ პაროლს ან რაიმე მსგავსს, მაშინაც კი, თუ არ გვჯერა, რომ ის მუშაობს. ჩვენ ამაზე არაერთხელ განვიხილავდით, მაგრამ დასკვნა, რომელსაც ყოველთვის მივდივართ არის ის, რომ არ გვინდა მომხმარებლებს უსაფრთხოების ყალბი გრძნობა მივცეთ და წაახალისოთ სარისკო ქცევა. ჩვენ გვინდა ძალიან მკაფიოდ ვიყოთ, რომ როდესაც ვინმეს ანიჭებთ წვდომას თქვენს OS მომხმარებლის ანგარიშზე, მას შეუძლია მიიღოს ყველაფერი. რადგან ფაქტობრივად, ეს არის ის, რასაც ისინი იღებენ.
ალბათ ის მართალია. მაგრამ თავდასხმის ეს დონე მოიცავს მომზადებას ჰაკერის მხრიდან, ისევე როგორც ტექნიკური ცოდნის არატრივიალურ რაოდენობას. წვდომის ეს გამზირი მარტივი და სწრაფია და არ ტოვებს აუდიტის კვალს. ეს არის დაუცველობა, რომელიც ბოროტმა ძმამ შეიძლება გამოიყენოს თქვენი ცხოვრების გასამწარებლად. ის ასევე არის ის, რაც მავნე თანამშრომელს შეუძლია გამოიყენოს დამღუპველი ეფექტით.
ეს პრობლემა არ არის უნიკალური Chrome-ისთვის. თუ თქვენი ნაგულისხმევი ბრაუზერი არის Firefox, თქვენ თანაბრად დაუცველი ხართ. ნებისმიერს, ვისაც აქვს ფიზიკური წვდომა თქვენს კომპიუტერზე, შეუძლია დააწკაპუნოს Firefox მენიუზე, დააწკაპუნოს Options-ზე და შემდეგ დააწკაპუნოს Saved Passwords ღილაკზე უსაფრთხოების ჩანართზე, რათა გადახვიდეთ ამ დიალოგურ ფანჯარაში. თქვენი ყველა შენახული პაროლის უბრალო ტექსტში გამოსავლენად პაროლი არ არის საჭირო.
Firefox მინიმუმ შეიცავს ძირითადი პაროლის დაყენების ვარიანტს, თუმცა ის ნაგულისხმევად არ არის ჩართული.
და ნუ იქნებით კომფორტულად მხოლოდ იმიტომ, რომ იყენებთ Mac-ს Windows-ის ნაცვლად. იგივე მარტივი წვდომა ხელმისაწვდომია Apple-ის ბრენდის მოწყობილობებზე.
მეორეს მხრივ, Internet Explorer მოითხოვს ავთენტიფიკაციის დამატებით ნაბიჯს, სანამ შეძლებთ უბრალო ტექსტის პაროლების ნახვას. Windows 7-სა და Windows 8-ში IE პაროლის ქეში ინახება Web Credential Manager-ში. თქვენ შეგიძლიათ ნახოთ თქვენი შენახული პაროლები, მაგრამ ღილაკზე ჩვენების დაწკაპუნებით თქვენ კვლავ უნდა შეიყვანოთ თქვენი მომხმარებლის ანგარიშის რწმუნებათა სიგელები.
ეს ყველაფერი, რა თქმა უნდა, კომპიუტერული უსაფრთხოების ერთ-ერთი ყველაზე ფუნდამენტური პრინციპის ილუსტრაციაა. თუ ვინმეს აქვს ფიზიკური წვდომა თქვენს კომპიუტერზე, ეს თქვენი კომპიუტერი აღარ არის. თქვენ ფაქტიურად მათ წყალობაზე ხართ.
თუ თქვენ გაწუხებთ ეს საკითხი, უნდა გააკეთოთ სამი რამ:
1. არასოდეს დატოვოთ კომპიუტერი განბლოკილი, როცა კლავიატურას შორდებით.
2. თუ გსურთ ვინმეს თქვენი კომპიუტერის სესხის ნება მისცეთ, ჩართეთ სტუმრის ანგარიში, რომელსაც აქვს შეზღუდული მომხმარებლის უფლებები და არ აქვს წვდომა თქვენს კონფიდენციალურ მონაცემებზე.
3. არ შეინახოთ პაროლები თქვენს ბრაუზერში. ამის ნაცვლად გამოიყენეთ მესამე მხარის პაროლის მენეჯერი, როგორიცაა RoboForm, ბოლო გასასვლელი, ან 1 პაროლი. მესამე მხარის ყველა ეს პროდუქტი ინახავს თქვენს რწმუნებათა სიგელებს დაშიფრულ მაღაზიებში, რომლებშიც თქვენ გჭირდებათ სერთიფიკატების მიწოდება ღია ტექსტის პაროლებზე წვდომამდე.
იმავდროულად, იმედი მაქვს, რომ Google-ის დეველოპერები გადახედავენ ამ პოლიტიკას. Chrome აგრესიულად მოუწოდებს მომხმარებლებს შეინახონ და სინქრონიზაცია გაუწიონ პაროლებს ამ ინტერფეისის გამოყენებით:
რაც მათ შეეძლოთ გაეკეთებინათ არის იმის ახსნა, თუ რატომ არ არის ეს ისეთი კარგი იდეა მომხმარებლებისთვის, რომლებიც დაუცველები არიან შემთხვევითი თავდასხმების მიმართ.