Hasło 
Klucze dostępu to metoda uwierzytelniania bezhasłowego, która umożliwia logowanie się do kont bez konieczności wprowadzania hasła przez użytkownika. Zamiast tego uwierzytelniasz w ten sam sposób, w jaki logujesz
Publikowany w dniu 23 czerwca, 2023
Tak, każdy użytkownik z dostępem do przeglądarki internetowej lub wykorzystujący złośliwe oprogramowanie do jej zhakowania, będzie mógł uzyskać dostęp do zapisanych w niej haseł. Te znane luki w zabezpieczeniach menedżerów haseł w przeglądarce są często ignorowane ze względu na wygodę użycia. Jednak w menedżerze haseł w przeglądarce hasła nie są bezpieczne.
Czytaj dalej, aby dowiedzieć się więcej o ryzyku związanym z używaniem menedżerów haseł w przeglądarce i czego należy używać zamiast nich.
Porównanie menedżerów haseł w przeglądarce ze specjalizowanymi menedżerami haseł
Menedżer haseł w przeglądarce to bezpłatny menedżer haseł wbudowany w oprogramowanie przeglądarki. Przeglądarki takie jak Chrome, Firefox i Opera mają wbudowane menedżery haseł z funkcjami takimi jak automatyczne wypełnianie i generator haseł. Czasami mogą również przechowywać dane karty kredytowej.
Specjalizowany menedżer haseł to samodzielne oprogramowanie oparte na chmurze do bezpiecznego przechowywania haseł oraz innych poufnych informacji. Wszystkie przechowywane dane są chronione przez hasło główne. To jedyne hasło, które musisz zapamiętać. Tego typu oprogramowanie jest często tworzone przez firmy z branży cyberbezpieczeństwa i udostępniane bezpłatnie lub w niskim abonamencie miesięcznym. Oferuje szereg funkcji i silne szyfrowanie, zapewniając bezpieczeństwo danych.
W przeciwieństwie do specjalizowanych menedżerów haseł, menedżery haseł w przeglądarce działają tylko na wyświetlanych stronach internetowych, a nie w innych aplikacjach. Możliwości przechowywania danych są ograniczone, można je stosować wyłącznie do przechowywania haseł i czasami numerów kart kredytowych. Menedżery haseł w przeglądarce są nie tylko mniej bezpieczne, ale także nie mają funkcji, które są standardem w specjalizowanych menedżerach haseł.
| Browser Password Manager | Dedicated Password Manager |
|---|---|
| Can store passwords and credit card numbers | Can store everything a browser password manager can in addition to confidential files, medical records, ID photos and more |
| Limited organizational capabilities | Strong organization, with folders, tags and search capabilities |
| No password-sharing features | Multiple options for securely sharing passwords and confidential information with others |
| Will only work when logging in to accounts while using that browser | Work across all browsers, devices and applications |
Dlaczego używanie menedżerów haseł w przeglądarce jest ryzykowne
Używanie menedżerów haseł w przeglądarce jest ryzykowne ze względu na ich wady w zakresie bezpieczeństwa i funkcjonalności.
Oto kilka powodów, dla których używanie menedżerów haseł w przeglądarce jest niebezpieczne.
Złośliwe oprogramowanie może naruszyć dane uwierzytelniające
Złośliwe oprogramowanie wykorzystywane do przeprowadzania cyberataków zapewnia cyberprzestępcom dostęp do komputera. Ponieważ przeglądarki zazwyczaj nie są chronione hasłem, cyberprzestępca będzie mógł uzyskać dostęp do przeglądarki internetowej z hasłami zapisanymi w postaci zwykłego tekstu.
Redline Stealer to przykład złośliwego oprogramowania, które jest powszechnym zagrożeniem od 2020 r. Może ukraść hasła z przeglądarki i umożliwić cyberprzestępcom ich sprzedaż w sieci dark web. Aby chronić się przed złośliwym oprogramowaniem, takim jak Redline Stealer, należy przechowywać hasła w specjalizowanym menedżerze haseł, który wykorzystuje najlepsze zabezpieczenia na potrzeby ochrony haseł przed cyberprzestępcami.
Zapisane hasła mogą być dostępne dla innych osób
Użytkownicy często zapominają wylogować się z menedżerów haseł w przeglądarce. Jeśli inna osoba będzie korzystać z przeglądarki na urządzeniu użytkownika, z łatwością uzyska dostęp do haseł zapisanych w przeglądarce.
Jeśli laptop zostanie skradziony lub zhakowany, cyberprzestępca uzyska dostęp do wszystkich ważnych kont, co umożliwi mu kradzież pieniędzy lub tożsamości.
Samodzielne menedżery haseł zazwyczaj oferują rozszerzenia przeglądarki, które automatycznie wypełniają hasła, ale wymagane jest zalogowanie się użytkownika, co zapobiega przejęciu haseł przez inne osoby, które uzyskają dostęp do komputera.
Hasła przechowywane w przeglądarkach nie są bezpiecznie szyfrowane
Menedżery haseł w przeglądarce stosują szyfrowanie, ale nie jest ono bardzo bezpieczne. Klucz szyfrowania umożliwiający użytkownikom uzyskanie dostępu do danych jest przechowywany w łatwych do znalezienia lokalizacjach na komputerze. Oznacza to, że każdy cyberprzestępca, który uzyska dostęp do komputera, będzie mógł znależć taki klucz. Po uzyskaniu klucza szyfrowania atakujący może z łatwością odszyfrować i ukraść dane uwierzytelniające użytkownika.
Szyfrowanie zero-knowledge, w którym klucz szyfrowania pochodzi z głównego hasła użytkownika, całkowicie chroni dane. Architektura zero-knowledge gwarantuje uniemożliwienie innym osobom dostępu do haseł użytkownika bez hasła głównego, nawet po uzyskaniu dostępu do komputera.
Oznacza to, że w samodzielnym menedżerze haseł dane są chronione zarówno podczas przechowywania, jak i przesyłania. Nawet zhakowanie chmury, w której przechowywane są zaszyfrowane dane, nie umożliwi ich odczytania bez klucza szyfrowania.
Mniej opcji uwierzytelniania dwuskładnikowego (2FA)
2FA lub uwierzytelnianie wieloskładnikowe (MFA) to funkcja kluczowa dla bezpieczeństwa, która umożliwia wykorzystanie co najmniej jednej dodatkowej metody uwierzytelniania na potrzeby logowania. Nawet jeśli cyberprzestępca uzyska dane uwierzytelniające, nie będzie mógł zalogować się bez potwierdzenia tożsamości za pomocą drugiej metody uwierzytelniania.
Istnieje kilka rodzajów 2FA różniących się pomiędzy sobą stopniem bezpieczeństwa. Na przykład powszechnie stosowane, wygodne kody tymczasowe wysyłane za pośrednictwem wiadomości SMS nie są najbezpieczniejszą opcją, ponieważ mogą zostać przechwycone podczas ataku wymiany karty SIM. Inne rodzaje MFA obejmują klucze sprzętowe i jednorazowe hasła czasowe (TOTP). Menedżery haseł w przeglądarce zapewniają ograniczone opcje 2FA. Czasami mogą zapewnić TOTP, ale bardzo rzadko wykorzystują sprzętowe klucze bezpieczeństwa jako metodę uwierzytelniania.
Sprzętowe klucze bezpieczeństwa są najbezpieczniejszą metodą uwierzytelniania, dlatego ich brak powoduje, że menedżery haseł w przeglądarce są mniej bezpieczne.
Co się stanie, jeśli cyberprzestępca ukradnie hasła?
Jednym z powodów, dla których używanie menedżerów haseł w przeglądarce jest tak ryzykowne, jest brak zabezpieczeń ułatwiający cyberprzestępcy kradzież haseł.
With stolen credentials, cybercriminals can get into your accounts, including bank and email accounts. Your online accounts contain lots of sensitive information and access to financial services such as banks. With your stolen credentials, cybercriminals may be able to steal your money, steal Personally Identifiable Information (PII) such as your Social Security number or even go as far as stealing your identity.
Jak chronić hasła
Aby chronić hasła, należy wyłączyć wbudowany menedżer haseł w przeglądarce, co uniemożliwi przypadkowe zapisywanie haseł. Należy również zrezygnować z przechowywania haseł w arkuszu kalkulacyjnym, dokumencie lub notatniku.
Najlepszym sposobem na zapewnienie bezpieczeństwa haseł jest używanie specjalizowanego menedżera haseł z szyfrowaniem zero-knowledge. Wykorzystaj go do tworzenia silnych, unikatowych haseł dla każdego z kont i przechowywania ich w bezpiecznym magazynie menedżera haseł.
Nie używaj menedżerów haseł w przeglądarce
Zrezygnuj z ograniczeń i zagrożeń dla bezpieczeństwa wbudowanych menedżerów haseł w przeglądarce. Użyj specjalizowanego menedżera haseł, takiego jak Keeper Password Manager.
Keeper to menedżer haseł wykorzystujący architekturę zero-knowledge oraz najlepsze w branży zabezpieczenia i funkcje. Ułatwiamy generowanie, przechowywanie i bezpieczne udostępnianie poufnych informacji, haseł oraz kluczy dostępu. Skorzystaj z 30-dniowej bezpłatnej wersji próbnej, aby ułatwić sobie korzystanie z Internetu.
