Zapisywanie haseł w przeglądarce

Zapisywanie haseł w przeglądarce – czym to grozi?

Podczas szkoleń security awareness wiele mówi się o tym jak powinny wyglądać hasła, że powinny być unikatowe dla każdego systemu i najlepiej przechowywane w menedżerze haseł. Jednym z najczęściej pojawiających się przy tej okazji pytań jest „a jak się do tych rad ma zapisywanie haseł w przeglądarce?

Warto zadać sobie pytanie do czego zostały stworzone hasła. Są one najpopularniejszą formą uwierzytelniania użytkownika w systemie, czyli mówiąc inaczej udowodniania systemowi, że użytkownik jest rzeczywiście tym, za kogo się podaje. Co w sytuacji gdy hasło podaje za nas przeglądarka? Otóż wówczas proces uwierzytelniania sprowadza się tak na prawdę do udowodnienia, że ktoś korzysta z tej samej przeglądarki, z której wcześniej korzystał użytkownik. Mamy więc tutaj całą gamę zagrożeń polegających m.in. na tym, że:

  • pod naszą nieobecność ktoś może skorzystać z naszego komputera i zalogować się w naszym imieniu,
  • ktoś ukradnie nam komputer i będzie w stanie wykorzystać zapamiętane w przeglądarce hasła (główne hasło do systemu nas przed tym nie uchroni jeśli nie mamy zaszyfrowanego dysku)
  • zgubimy nasz komputer lub telefon (efekt jak powyżej)
  • ktoś połączy się zdalnie do naszego komputera i będzie mógł działać w naszym imieniu (np. pracownik wsparcia technicznego lub oszust, który z pomocą socjotechnik przekona nas, że jest takim właśnie pracownikiem)
  • ktoś zainfekuje nasz komputer i uzyska do niego dostęp (np. z pomocą backdoora).

Wydaje Wam się, że powyższe scenariusze są mało prawdopodobne? To zerknijcie na poniższe zdjęcie. Przedstawia ono tablet znanej posłanki pozostawiony bez opieki. Zdjęcie wykonane zostało parę dni temu w pociągu, którym owa posłanka jechała, w chwili gdy udała się do toalety.

zalogowany tablet posłanki pozostawiony w przedziale bez opieki
zalogowany tablet posłanki, pozostawiony bez opieki

O ile więc zapamiętywanie unikalnych haseł w przeglądarce jest zapewne lepszym rozwiązaniem niż używanie jednego hasła do wielu systemów, o tyle nie gwarantuje nam ono odpowiednio wysokiego poziomu bezpieczeństwa.

Kiedy lepiej znaczy gorzej

Co jeszcze może pójść nie tak? Otóż niedźwiedzią przysługę oddają nam sami twórcy przeglądarek, którzy chcą nam za wszelką cenę ułatwić życie. Większość z przeglądarek oferuje opcję synchronizacji zapamiętanych haseł pomiędzy wieloma urządzeniami. Mechanizm ten działa w taki sposób, iż po zalogowaniu się w systemie twórcy danej przeglądarki wysyłamy do jego chmury wszystkie zapamiętane hasła. Mamy dzięki temu dostęp do nich na innych urządzeniach, na których również zalogujemy się w przeglądarce kontem jej producenta.

Zobaczmy na jakie ustawienia warto zwrócić uwagę na przykładzie przeglądarki Chromium (wersja dla Linuksa). Po pierwsze o tym, czy jesteśmy zalogowani w przeglądarce swoim kontem Google świadczy ikona w prawym górnym rogu przeglądarki:

przeglądarka google chrome z zalogowanym kontem użytkownika

Jeżeli jesteśmy już zalogowani w samej przeglądarce, to istotne będą dla nas kolejne opcje, które możemy włączyć lub wyłączyć w ustawieniach przeglądarki. Po pierwsze w zakładce „Ty i Google -> Synchronizacja i usługi Google” znajdziemy opcję „Zezwalaj na logowanie w Chromium”. Jej włączenie oznacza, że do serwisów Google, np. Gmaila, będziemy zalogowani automatycznie bez konieczności podawania hasła (podaliśmy je już wcześniej logując się do przeglądarki). Wyłączenie tej opcji sprawi, że samo uruchomienie przeglądarki nie wystarczy by np. czytać naszą pocztę na Gmailu lub mieć dostęp do plików i zdjęć na dysku Google.

ustawienia google chrome - zezwalaj na logowanie

Za synchronizację haseł pomiędzy urządzeniami odpowiada natomiast zakładka ustawień „Autouzupełnianie -> Hasła”. Pierwsza z widocznych tam opcji „Proponuj zapisywanie haseł” decyduje o tym, czy przeglądarka będzie nas pytała o zapamiętywanie hasła za każdym razem gdy logujemy się na jakiejś stronie. Druga – „Automatyczne logowanie” odpowiada za to, czy zapamiętane hasła mają być automatycznie używane do logowania.

ustawienia google chrome - zapisywanie haseł

Jeżeli włączone mamy wszystkie powyższe opcje i zalogowani jesteśmy do przeglądarki swoim kontem Google to dużym problemem może się dla nas okazać zgubienie lub kradzież telefonu. W Androidzie domyślnie jesteśmy zalogowani na swoje konto Google (w innych systemach możemy być nim zalogowani w przeglądarce Chrome). Jeżeli nie zadbaliśmy o to by odpowiednio utrudnić dostęp do naszego telefonu, to jego znalazca w przeglądarce będzie mógł bez większych problemów zalogować się w naszym imieniu do każdej usługi, której hasło wcześniej zapamiętaliśmy nie tylko na telefonie, ale również na innych urządzeniach.

A jeśli myślicie, że zabezpieczenie telefonu przy pomocy symbolu blokady jest wystarczające, to zerknijcie na ekran swojego smartfona pod światło przy ściemnionym wyświetlaczu. Ślad blokady potrafią w ten sposób ustalić kilkuletnie dzieci.

Kiedy możemy zapamiętywać hasła w przeglądarce?

Osobiście w przeglądarce zapisuję jedynie hasła do usług, których przejęcie przez intruza nie może wyrządzić mi szkody. Przykładowo – raz w miesiącu loguję się do kilku systemów usługodawców, z których pobieram faktury. Nie ma w nich możliwości dokonania żadnych zmian ani wykonania w moim imieniu zleceń. Jedyne ryzyko, to że ktoś zobaczy ile płacę np. za łącze internetowe.

W każdym innym jednak przypadku stosuję indywidualne hasła zapisane w menedżerze haseł. W najważniejszych dla mnie systemach, w tym usługach typu Gmail, Facebook, dodatkowo uwierzytelnianie dwuskładnikowe z pomocą klucza Yubikey.

Sugeruję Wam podobne podejście. Niestety często wygoda jest stawiana ponad bezpieczeństwem do momentu aż nie wydarzy się jakiś przykry incydent. Do napisania tego artykułu zainspirował mnie jeden z czytelników bloga, który zgłosił się do mnie z problemem dotyczącym przejęcia 3 kont pocztowych i próby włamania na konto giełdy kryptowalut. Po krótkiej analizie doszliśmy do wniosku, iż intruzi skorzystali właśnie z zapamiętanych w Google haseł, do których dostęp uzyskali przez zainfekowany wcześniej telefon.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

2 komentarze

  1. Jednym z popularnych menedżerów haseł jest plik hasła.txt na pulpicie. Ten sposób przechowywania haseł jest równie bezpieczny, jak danie ogłoszenia z hasłami do gazety, ale za to znacznie tańszy.

Skomentuj

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.