کجا اطلاعات کاربری را ذخیره کنیم: مرورگر یا نرم افزار مدیر رمز عبور؟
گذرواژههای ذخیرهشده در مرورگر شما را از وارد کردن مجدد آنها در هر بار نجات میدهند، که باعث صرفهجویی در زمان واقعی میشود. اما چقدر امن است؟ این پست سه دلیل را بررسی میکند که چرا نباید رمزهای عبور را در مرورگر خود ذخیره کنید، و اینکه چرا باید از یک روش ذخیرهسازی بسیار امنتر استفاده کنید: مدیریت رمز عبور.
1. دزدان رمز عبور
مشکل اصلی با ذخیره پسوردها در مرورگرها این است که امنیت را فدای قابلیت استفاده می کنند. این حداقل برای سه مرورگر محبوب صدق می کند: Google Chrome، Mozilla Firefox و Microsoft Edge که همگی رمزهای عبور کاربران را به روشی بسیار ناامن ذخیره می کنند.
دلیل آن این است که همه مرورگرها رمزهای عبور را در مکانی بسیار قابل پیش بینی، در پوشه ای ذخیره می کنند که مسیر آن برای هیچکس مخفی نیست. و اگرچه خود رمزهای عبور رمزگذاری شده اند، کلید رمزگذاری در نزدیکی ذخیره شده و به راحتی قابل دسترسی است. با استفاده از این کلید، مهاجم می تواند رمزهای عبور را رمزگشایی و سرقت کند. یک موقعیت مسخره: به نظر می رسد در به طور ایمن قفل شده است، اما کلید زیر فرش در است و تمام دنیا آن را می دانند.
در واقع، مرورگرها از این حالت برای رقابت با یکدیگر استفاده میکنند: برای آسانتر کردن جابهجایی کاربران، اغلب پیشنهاد میکنند همه دادههای ذخیرهشده را از مرورگر قدیمی وارد کنند، از جمله رمزهای عبور ذخیرهشده.
آیا حدس می زنید چه کسی از این ویژگی استفاده می کند؟ درست است. یک کلاس کامل از بدافزارها (که به درستی دزدهای رمز عبور نامیده می شوند) وجود دارد که به سرقت اعتبار اختصاص داده شده است. این بدافزار پوشههایی را که حاوی گذرواژههای ذخیرهشده در مرورگر هستند، جستجو میکند، کلید را در زیر درب خانه پیدا میکند، سپس رمزهای عبور را رمزگشایی میکند و غارتها را در سرور مجرمان سایبری آپلود میکند. بعداً، این رمزهای عبور معمولاً پایگاه داده میشوند و به صورت انبوه در وب تاریک به کلاهبرداران دیگری فروخته میشوند که از آنها برای ربودن حسابها استفاده میکنند (تخصص محدود مدتهاست که در دنیای مجرمان سایبری معمول بوده است).
برای درک اینکه سرقت رمزهای عبور ذخیره شده در مرورگر چقدر آسان است، توصیه می کنیم یک ویدیوی آزمایشی را تماشا کنید که به وضوح نحوه استخراج سریع رمزهای عبور از Chrome، Firefox و Edge را با استفاده از اسکریپت پایتون نشان می دهد.
2. دسترسی فیزیکی به کامپیوتر
این فقط بدافزار آموزشدیدهای نیست که میتواند به چنین شرارتهایی دست پیدا کند، بلکه هر کسی که به رایانه شما دسترسی فیزیکی دارد. و هیچ مهارت هک پیچیده ای لازم نیست – اسکریپت هایی برای استخراج رمزهای عبور ذخیره شده در مرورگر به راحتی به صورت آنلاین در دسترس هستند. تنها کاری که لازم است اجرای آنهاست.
حتی یک همکار یا بستگان بیش از حد کنجکاو میتوانند این کار را انجام دهند، اگر قفل رایانه خود را باز بگذارید. یا هکری که در یک ماموریت جاسوسی از دفتر شما بازدید می کند. اساسا، هر کسی. نکته مهم این است که تمام رمزهای عبور ذخیره شده شما در مرورگر در دستان بالقوه خصمانه قرار می گیرند.
و حتی اگر مزاحم اسکریپت مناسبی برای استخراج رمزهای عبور از فایل ذخیره شده در مرورگر نداشته باشد، می تواند تنظیمات لیست سایت هایی را که رمزهای عبور برای آنها ذخیره شده است جستجو کند و سپس برای خواندن مکاتبات شما به یکی از آنها وارد شود. به عنوان مثال، یا به رازهای دیگری در مورد خود پی ببرید.
محبوب ترین مرورگر جهان (اگر نمی دانستید گوگل کروم) حتی مکانیسم اساسی برای جلوگیری از چنین اقداماتی ندارد. و در حالی که توسعه دهندگان فایرفاکس به اندازه کافی خوب بودند که به کاربران اجازه می دادند از رمزهای عبور ذخیره شده با یک رمز عبور اصلی محافظت کنند، آنها این گزینه را به طور پیش فرض غیرفعال کردند. رمز عبور اصلی باید به صراحت فعال و پیکربندی شود و بعید است که بسیاری از کاربران فایرفاکس حتی در مورد آن بدانند.
3. ربودن حساب مرورگر
مشکل زیر برای همه مرورگرهایی که به کاربران اجازه میدهند برای راحتی خود، حسابی برای همگامسازی مرورگرها در دستگاههای مختلف ایجاد کنند، مشترک است. این بدان معناست که نشانکها، جلسات مرورگر، برنامههای افزودنی، تنظیمات و همچنین رمزهای عبور ذخیرهشده همگی همگامسازی و در فضای ابری ذخیره میشوند. و اگر یک هکر وارد حساب مرورگر شما شود، تنها کاری که باید انجام دهد این است که با استفاده از همان حساب در رایانه دیگری وارد شوید. سپس تمام حسابهای شما که رمزهای عبور آنها در مرورگر ذخیره شده است – از شبکههای اجتماعی گرفته تا بانکهای آنلاین – برای گرفتن وجود دارد.
چرا نرم افزار مدیریت رمز عبور مرورگر را شکست می دهد؟
مانند مرورگرها، Kaspersky Password Manager اعتبارنامههای شما را به خاطر میسپارد و به شما امکان میدهد هنگام ورود به وبسایتها، آنها را بهطور خودکار پر کنید. اما برخلاف توسعه دهندگان مرورگر، ما امنیت را به خطر نمی اندازیم. در مدیریت رمز عبور ما، رمز عبور اصلی به طور پیش فرض استفاده می شود و غیرفعال نمی شود – همه رمزهای عبور ذخیره شده شما همیشه محافظت می شوند. بنابراین حتی اگر شخصی به رایانه شما دسترسی فیزیکی پیدا کند، نمی تواند به سادگی با استفاده از اعتبار ذخیره شده در مدیر وارد سایت ها شود. برای انجام این کار، آنها به رمز عبور اولیه نیاز دارند که هیچ کس جز شما آن را نمی داند (مگر اینکه آن را روی صفحه نمایش خود روی یک یادداشت چسبنده چسبانده باشید).
یکی دیگر از مزایای Kaspersky Password Manager این است که همه رمزهای عبور فقط به صورت رمزگذاری شده ذخیره می شوند. و مهمتر از همه، ما کلید رمزگشایی را “زیر حصیر در” نگه نمی داریم. کلید رمزگذاری در پرواز با استفاده از الگوریتم AES-256 بر اساس رمز عبور اولیه تولید می شود که به ما امکان می دهد اصلاً آن را ذخیره نکنیم. هر جا. همیشه. بنابراین حتی اگر دزدی بتواند وارد رایانه شما شود، نمی تواند چیزی را بدزدد – همه رمزهای عبور شما به طور ایمن رمزگذاری شده اند. اتفاقاً، اگر از Kaspersky Password Manager به عنوان بخشی از Kaspersky Premium استفاده میکنید، ما حتی به بدافزار اجازه ورود نمیدهیم.
یه چیز دیگه. به طور طبیعی، ما از ابر برای همگامسازی رمزهای عبور بین دستگاهها استفاده میکنیم – همه رمزهای عبور شما به حساب My Kaspersky شما مرتبط هستند. اما حتی اگر یک مزاحم به نحوی به این حساب دسترسی پیدا کند، رمزهای عبور ذخیره شده در Kaspersky Password Manager همچنان کاملاً ایمن خواهند بود. دلیلش این است که در فضای ابری آنها منحصراً به شکل رمزگذاری شده ذخیره می شوند و کلید رمزگشایی بر اساس رمز عبور اولیه تولید می شود که فقط شما می دانید و بدون آن مهاجمان بی دندان هستند.
همچنین اخیراً Kaspersky Password Manager را برای پشتیبانی از مرورگرهای Opera و Opera GX بهروزرسانی کردهایم که همچنان کاربران جدید را جذب میکنند. این بدان معناست که ما اکنون از همه محبوب ترین مرورگرها پشتیبانی می کنیم: کروم (و مرورگرهای مبتنی بر Chromium)، سافاری، فایرفاکس، اج و اپرا.
ترجمه:
پیشگامان تجارت امن ایرانیان