Почему не рекомендуется хранить пароли в браузере?

Почему нельзя хранить пароли в браузере?

Практически все современные браузеры (как для компьютеров, так и для мобильных устройств) обладают функцией хранения логинов и паролей (а в некоторых случаях и хранения данных с заполняемых на сайтах веб-форм). Эта функция обычно включена по умолчанию, а основное ее достоинство — простота использования.

Особенности функции сохранения паролей в браузере

При вводе логина и пароля браузер либо предлагает сохранить логин/пароль, либо делает это автоматически. То же самое относится и к заполнению полей ввода логинов и паролей — браузер делает это автоматически или предлагает пользователю заполнить нужные поля в один клик. Кроме того, пользователь может в любой момент открыть настройки своего веб-обозревателя, перейти в соответствующий раздел и просмотреть весь список хранимых в нем парольных фраз со ссылками, ведущими на страницы заполнения веб-форм.

Почему хранение паролей в браузере небезопасно?

Из вышесказанного можно сделать вывод: данная функция у браузеров — не самый безопасный способ хранения такой чувствительной информации, как данные для авторизации на сайтах или веб-системах, функционирующих через веб-обозреватели. Ведь ко всем логинам и паролям довольно просто получить доступ, и сделать это можно не только через сам браузер.

Настройки хранения паролей в Google Chrome
Настройки хранения паролей в Google Chrome

Существует большое количество программ, способных скопировать (экспортировать) абсолютно все логины и пароли из любого браузера. И такие приложения — это никакие не вирусы, не шпионское или вредоносное ПО, а вполне себе легальные утилиты, в большинстве случаев распространяющиеся бесплатно (например, это умеет делать утилита WebBrowser). Все дело в способе хранения браузером пользовательских паролей. Хранятся они в специальном файле, который по умолчанию никак не защищен — он просто находится на диске в незашифрованном виде. И все, что делают программы для экспорта паролей из браузера — открывают этот файл, считывают из него данные и сохраняют/отображают их в понятном для пользователя виде.

Конечно, у всех современных интернет-обозревателей имеется функция защиты того самого файла путем его шифрования. В этом случае файл с паролями открыть будет невозможно, не зная ключа дешифрования (т.е. мастер-пароля). Нельзя будет и войти в настройки браузера, чтобы посмотреть весь список сохраненных логинов/паролей. Также, не зная ключа дешифрования, невозможно воспользоваться функцией автоматического заполнения веб-форм (браузер попросит сначала ввести этот ключ).

Но с этой системой защиты есть пара нюансов (дыр в безопасности):

  • По умолчанию функция защиты отключена — ее требуется включать вручную из настроек браузера, с чем у рядовых (особенно начинающих) пользователей могут возникнуть сложности (впрочем, легко преодолимые).
  • В большинстве случаев браузеры просят ввести мастер-пароль всего единожды за сессию (повторный ввод требуется после перезапуска обозревателя). Т.е. злоумышленнику нужно будет лишь дождаться, пока пользователь введет ключ дешифровки, после чего он получит доступ ко всем паролям.
  • Даже в случае установки мастер-пароля логины, а также адреса сайтов остаются видимыми (так дела обстоят, по крайней мере, у Mozilla Firefox). Возможно, это не критично, однако в некоторых случаях даже утечка логина в руки злоумышленников может представлять угрозу личным данным (зная логин, можно попробовать восстановить и пароль).

Есть у этой браузерной функции и такой недостаток, как возможная утрата всех сохраненных пользовательских логинов/паролей при переустановке системы или самого браузера. Конечно, это не столь существенный недостаток — пароли можно сохранить, задействовав синхронизацию данных между браузером и серверами компании-разработчика (в этом случае пароли будут храниться на удаленном сервере) либо заранее экспортировав их в файл (что, кстати, тоже совсем небезопасно, а иногда и невозможно без установки специального расширения, как в случае с тем же Mozilla Firefox).

Как безопасно хранить пароли?

Краткий ответ на этот вопрос — использовать специализированные программы для хранения паролей в зашифрованном виде, например, MultiPassword. Таких приложений, именуемых «менеджерами паролей», довольно много — как платных, так и бесплатных... И основное их предназначение — хранение паролей в зашифрованном виде (впрочем, некоторые приложения позволяют хранить любые текстовые данные или даже файлы).

MultiPassword
MultiPassword

Большинство современных парольных менеджеров также обладают функциями автоматического сохранения паролей и заполнения веб-форм на сайтах. Для этого, помимо самой программы, на компьютер также придется установить расширение для браузера (автоматическое сохранение/заполнение паролей без этого не будет работать).

Менеджеры паролей существуют не только в виде десктоптных приложений. Среди них имеются и самостоятельные расширения для веб-обозревателей. Для их функционирования никаких других программ использовать не нужно.

В любом случае, использование специальных программ/расширений является более безопасным способом хранения логинов/паролей. Вот лишь некоторые из причин:

  • У менеджеров паролей имеется и, как правило, включена по умолчанию функция автоматической блокировки базы данных с паролями, срабатывающая каждые несколько минут (настраиваемый параметр). Если пользователь перестал просматривать список своих логинов/паролей, приложение заблокируется по истечению определенного количества времени.
  • Парольные менеджеры, требующие регистрацию в системе компании-разработчика, по умолчанию сохраняют пароли не только локально на диске, но и на удаленном сервере. Даже если сам компьютер будет уничтожен, важные данные можно будет восстановить. Главное — сохранить/запомнить мастер-пароль от учетной записи и/или секретный ключ либо файл-ключ, который лучше хранить на флешке.
  • Возможность задействования двухфакторной аутентификации (2ФА/2FA) для доступа к базе данных с паролями. Если мастер-пароль, секретный ключ и прочие данные попадут в руки злоумышленников, они все равно не смогут войти в систему, т.к. для этого потребуется дополнительный код, высылаемый пользователю на телефон (например, SMS) или в программу аутентификации (2FA-приложение). Конечно же, телефон и 2ФА-аутентификатор также нужно защитить паролем, отличным от мастер-пароля.
  • Более удобный и гибкий пользовательский интерфейс, наличие массы дополнительных функций. Из числа последних можно отметить, к примеру, генератор сложных паролей, позволяющего создавать «невзламываемые» парольные фразы, функцию группировки/сортировки хранимых данных, возможность хранения зашифрованных заметок и многое другое.

Ознакомиться с конкретными парольными менеджерами и специализированными расширениями для браузеров можно из нашей статьи Программы для хранения паролей — лучшие менеджеры паролей для Windows.