Key takeaways
- Google har opdateret adgangskodeadministratoren, der er indbygget i sin Chrome-webbrowser og Android-operativsystem.
- Virksomheden hævder, at de nye funktioner bringer det tættere på tredjeparts adgangskodeadministratorer.
- Sikkerhedseksperter advarer dog mod at gemme legitimationsoplysninger i en webbrowser.
Som det ofte er tilfældet med teknologi, kommer bekvemmelighed på bekostning af sikkerhed.
Google har tilføjet nyttige funktioner til den indbyggede adgangskodeadministrator i Chrome og Android, der gør den til et reelt alternativ til dedikerede adgangskodeadministratorer. Dette er dog ikke nok til at overbevise sikkerhedseksperter om at stole på, at browsere gemmer adgangskoder.
"Jeg er ikke fan af at gemme adgangskoder i nogen webbrowser," fort alte Chris Hauk, forbrugerbeskyttelsesmester hos Pixel Privacy, til Lifewire via e-mail. "Dette gælder dog især for en browser som Chrome, der tidligere har været udsat for adskillige brud på sikkerheden og privatlivets fred."
Forkert værktøj til jobbet
I en e-mail-udveksling med Lifewire sagde Dahvid Schloss, Managing Lead, Offensive Security, hos Echelon Risk + Cyber, at udrulningen af Google Password Manager ser ud til at skabe en meget god brugervenlig applikation at dele mellem en brugers enheder. "Men i slutningen af dagen er applikationen kun så sikker som dens mindst sikre enhed, der bruger den."
Stephanie Benoit-Kurtz, ledende fakultet for College of Information Systems and Technology ved University of Phoenix, var enig. I en e-mail fort alte hun Lifewire, at selvom browsere er nået langt med at give brugerne en forenklet oplevelse, når de gemmer logins og adgangskoder til websteder, er det en glidebane at bruge dem til at gemme adgangskoder.
Benoit-Kurtz pegede specifikt på to problemer med lagring af adgangskoder i browsere. Den første er kryptering, da webbrowsere afhænger af enhedskonfigurationen for krypteringsindstillinger. Hun sagde, at almindelige brugere ikke fuldt ud forstår vigtigheden af kryptering for at beskytte deres enheder.
"Den anden udfordring er, at hvis en enhed med dine browserindstillinger bliver stjålet eller falder i en andens hænder gennem hacking, kan den dårlige skuespiller have adgang til alle login- og adgangskodedata til systemer," sagde Benoit-Kurtz.
Hun erkendte også, at selvom browsere er nået langt med sikkerhed, skal folk stadig følge med alle patches og nødvendig vedligeholdelse for at holde dem sikre. Selv da er der nul-dagstrusler, der kan gøre selv fuldt opdaterede browsere sårbare.
Schloss erkendte, at selvom han endnu ikke har pillet ved Chromes opdaterede adgangskodeadministrator, ser det ikke ud til at være et tilføjelsesmodul til Chrome.
"Det betyder, at det meget vel er muligt, at dette ikke ville løse problemet med almindelig tekstlagring, der er blevet og bliver misbrugt af trusselsaktører," forklarede Schloss, "hvilket fører til, at alle dine adgangskoder bliver brudt, hvis en trusselsaktør var allerede på din enhed."
… applikationen er kun så sikker som den mindst sikre enhed, der bruger den.
Ring til en specialist
I stedet for at bruge browsere til at gemme legitimationsoplysninger, anbefaler vores eksperter at bruge specialiserede værktøjer, der er oprettet eksplicit til lagring af adgangskoder.
"For en mere sikker mulighed, evaluer mere avanceret teknologi såsom adgangskodebokse for at holde logins og adgangskoder sikre," foreslog Benoit-Kurtz. "Disse værktøjer sælges typisk som et abonnement og giver kryptering, multi-faktor autentificering (MFA) og andre teknologier, der er nødvendige for at beskytte logins og adgangskoder."
Hauk er afhængig af 1Password-adgangskodemanageren, som han påpeger fungerer på tværs af de fleste populære platforme og apps og sikkert gemmer legitimationsoplysninger i en velkrypteret database.
"Password Managers gør dig i stand til at skabe stærke, komplekse adgangskoder uden at have hukommelsen om en elefant," sagde Schloss, "og de fleste af dem giver en vis grad af overtrædelsesovervågning for at fortælle dig, hvornår du skal ændre et websted adgangskode."
Schloss bruger Keeper og Last Pass til sine hjemme- og arbejdsenheder, men foreslår, at selvom de begge har deres fordele, behøver de fleste mennesker ikke at bruge to adgangskodeadministratorer.
Han argumenterede for, at de fleste af de populære har understøttelse på tværs af enheder, der gør dem praktiske at bruge. Mens mange gemmer dine legitimationsoplysninger på en tredjepartsserver, er dataene krypteret ende-til-ende, hvilket betyder, at dine adgangskoder er sikre, selvom hackere bryder din adgangskodeadministrators servere.
"Når det er sagt, er enhver adgangskodemanager bedre end ingen adgangskodemanager," rådede Schloss. Han påpegede, at genbrug af adgangskoder er meget farligere og en frygtelig praksis at vænne sig til.
"For eksempel, i tilfælde af at et websted bliver brudt, og trusselsaktørerne får adgang til din adgangskode, kan de bruge den samme adgangskode til at få adgang til dine andre konti," advarede Schloss. "Du gav dem nøglerne til dit slot på det tidspunkt."
