Здесь появятся сайты которые никогда не сохраняют пароли
Перейти к содержимому

Здесь появятся сайты которые никогда не сохраняют пароли

  • автор:

Google тестирует новый менеджер паролей, который использует учетную запись Google и не зависит от Chrome

Компания Google тестирует новую функцию в Chrome, которая позволит пользователям браузера передавать сохраненные пароли в учетную запись Google. Пароли становятся доступны для других устройств и приложений

Пользователи Chrome смогут сохранять пароли в аккаунте Google даже с отключенной синхронизацией

Сейчас Google Chrome поддерживает сохранение паролей на локальной машине независимо от того, выполнен ли вход в аккаунт Google и включена ли синхронизация. Данная опция включена по умолчанию, но пользователи могут отключить ее, например, если они используют сторонний менеджер паролей.

Некоторые пользователи Chrome входят в свой аккаунт Google, но не включают синхронизацию. Дело в том, что синхронизацию нужно включать отдельно для того, чтобы различные установки Chrome обменивались данными.

Новая опция для сохранения паролей в аккаунт Google выглядит очень схожей с функцией синхронизацией, потому что позволяет хранить пароли на удаленном сервере. Одно из главных отличий заключается в том, что пароли становятся доступны для других устройств и приложений, независимо от Chrome.

Судя по всему, функция должна будет работать аналогично новому менеджеру паролей Microsoft, который работает в Edge, Chrome и на мобильных устройствах, используя учетную запись Microsoft.

Экспериментальная функция появилась в Chrome 89 и ее необходимо включить, прежде чем она станет доступной. После ее активации при условии отключенной синхронизации вы можете открыть внутреннюю страницу менеджера паролей Chrome по адресу: chrome://settings/passwords .

В разделе Сохраненные пароли вы должны увидеть надпись: «Вы можете добавить в этот список пароли из вашего аккаунта Google». Кроме того, для локально сохраненных паролей в меню «три точки» доступна опция Переместить в аккаунт Google.

При входе в аккаунт на сайтах Google Chrome отображает возможность авторизации с использованием паролей, сохраненных в учетной записи Google.

Если вы используете пароль, который не хранится в учетной записи Google, вам будет предложено переместить его в учетную запись Google, чтобы получить к нему доступ с любого приложения и устройства, где вы выполнили вход в аккаунт. Если вы зарегистрируетесь, вы получите возможность сохранить учетные данные локально или в учетной записи Google.

Как включить функцию сохранения паролей в аккаунте Google в Chrome Canary

Новая функция доступна с тестовой версии Chrome Canary. Чтобы включить ее, выполните следующие шаги:

  • Введите адрес внутренней страницы chrome://flags/ в адресной строке браузера
  • Выполните поиск по запросу account data storage.
  • Установите значение Enabled для флага «Enable the account data storage for passwords».
  • Установите значение Enabled для флага «Enable IPH for the account data storage for passwords».
  • Перезапустите Chrome.

Как включить функцию сохранения паролей в аккаунте Google в Chrome Canary

Осталось убедиться, что у вас в браузере отключена синхронизация.

На данный момент функция является экспериментальной, а значит она может никогда не появиться в стабильной версии. С другой стороны, данная опция может стать новым вариантом по умолчанию для всех пользователей Chrome, которые вошли в Chrome, но не включили синхронизацию. Данные в аккаунте Google хранятся независимо от Chrome, и пользователи могут предоставить к ним доступ для других приложений и устройств, где Chrome недоступен.

А вы бы воспользовались данной функцией?

Почему менеджер паролей в Гугл Хром удобнее Связки ключей Safari

Сложно представить использование смартфона без менеджера паролей в 2023 году. Условная утилита 1Password позволяет управлять своими данными от учетных записей и надежно хранить их вдали от чужих глаз без возможности забыть или потерять. Вот только далеко не все доверяют сторонним программам и предпочитают Связку ключей в Safari. Есть решение и для пользователей Chrome — встроенный менеджер паролей Гугл, но кто-то не может с ним разобраться или попросту не хочет доверять свои данные. А зря: сейчас мы объясним, как управлять паролями в Google Chrome на Айфоне и почему это удобнее, чем Связка ключей в Safari.

Почему менеджер паролей в Гугл Хром удобнее Связки ключей Safari. Рассказываем, как пользоваться менеджером паролей в Гугл Хром. Фото.

Рассказываем, как пользоваться менеджером паролей в Гугл Хром

Менеджер паролей Гугл Хром — что это

Менеджер паролей Гугл — это безопасный инструмент, интегрированный в браузер для хранения данных от аккаунтов. С его помощью можно всегда использовать логин и пароль от аккаунта, включив автозаполнение на сайте, или же просмотреть их отдельно, если забыли.

Менеджер паролей Гугл Хром — что это. Менеджер паролей в Гугл Хром — топ. Пользоваться очень легко на любом устройстве. Фото.

Менеджер паролей в Гугл Хром — топ. Пользоваться очень легко на любом устройстве

Менеджер паролей Google Chrome синхронизирует данные на нескольких устройствах, где выполнен вход в Гугл Аккаунт, а также надежно шифрует их для защиты от несанкционированного доступа. Вдобавок он генерирует пароли и предлагает вручную выбрать наиболее безопасный из них, а также встроен по умолчанию в Хром — отдельно скачивать ничего не придется и, тем более, оплачивать. А еще он работает не только внутри браузера Гугл.

Как сохранить пароль в Гугл Хром на iPhone

Чтобы добавить пароль в Хром, нужно всего лишь запустить браузер и зайти на нужный сайт, данные от которого еще не сохранены в Гугл Аккаунте. Вот как это делается.

  • Откройте Chrome на Айфоне и зайдите на сайт.
  • Затем заполните строку с логином и паролем, после чего подтвердите вход.

Как сохранить пароль в Гугл Хром на iPhone. Пароли можно сохранить практически в одно касание. Фото.

Пароли можно сохранить практически в одно касание

Чтобы сохранить логин и пароль в Хроме, вам вовсе не обязательно заходить на страницу: вы можете сделать это автономно.

  • Зайдите в Гугл Хром.
  • Нажмите на три точки справа и выберите «Менеджер паролей».

Как сохранить пароль в Гугл Хром на iPhone. Добавить пароль можно самостоятельно, даже не заходя на страницу. Фото.

Добавить пароль можно самостоятельно, даже не заходя на страницу

После этого при входе на сайт автозаполнение Гугл Хром предложит использовать данные этого сайта.

Шифрование паролей в Гугл Хром

Гугл Хром предлагает защитить пароли и включить шифрование. Это значит, что при активации ключи будут храниться на вашем устройстве и к ним никто не сможет получить доступа кроме вас. Это безопасно, но есть недостаток — выключить шифрование в Гугл Хром нельзя, а автозаполнение для некоторых сайтов не будет работать.

  • Зайдите в менеджер паролей в Гугл Хром.
  • Нажмите «Настройки», найдите «Шифрование на устройстве» и выберите «Настроить».

Шифрование паролей в Гугл Хром. Можно настроить шифрование паролей, чтобы доступ к ним имели только вы. Фото.

Можно настроить шифрование паролей, чтобы доступ к ним имели только вы

На ваше устройство придет уведомление об успешном включении шифрования. Теперь доступ к ним будет осуществляться при помощи Face ID прямо со стартовой страницы.

Как перенести пароли Google Chrome на другой компьютер

Зачастую очистка кэша браузера приводит к выходу из аккаунта, в результате чего зайти обратно может быть проблематично. Это легко исправить — можно импортировать или экспортировать пароли из Гугл Хром. Это вдвойне полезно, так как позволяет перенести данные учеток в другой браузер, сэкономив уйму времени. Вот как это делается.

    Зайдите в менеджер паролей Гугл Хром на Айфоне.

Как перенести пароли Google Chrome на другой компьютер. Пароли Гугл Хром можно экспортировать в виде файла на другие устройства. Фото.

Пароли Гугл Хром можно экспортировать в виде файла на другие устройства

Автозаполнение паролей в Сафари из Гугл Хром

Если вы переходите с Android на iPhone, то наверняка со временем привыкните пользоваться браузером Сафари. Перенести в него пароли вышеуказанным методом не получится, зато можно подключить автозаполнение из Google Chrome, которое сэкономит вам время и нервы.

  • Скачайте Гугл Хром на Айфон и войдите в свой Гугл Аккаунт, синхронизировав все пароли.

Автозаполнение паролей в Сафари из Гугл Хром. Автозаполнение паролей из Гугл Хром можно подключить даже для Сафари. Фото.

Автозаполнение паролей из Гугл Хром можно подключить даже для Сафари

Теперь при посещении сайтов в Safari заново вводить пароли от аккаунтов не придется, так как система будет предлагать автозаполнение паролей из Google Chrome, где уже сохранены все ваши данные!

Пусть они вставляют пароли

Примечание переводчика: Автор статьи — эксперт по социотехнической безопасности (Sociotechnical Security Researcher) в Национальном центре кибербезопасности Великобритании (NCSC), подразделении Центра правительственной связи (GCHQ), который отвечает за ведение радиоэлектронной разведки и обеспечение защиты информации органов правительства и армии.

В твиттере нам часто присылают примеры сайтов, которые блокируют вставку пароля из буфера обмена. Почему сайты так поступают? Разгорелась дискуссия — и большинство спорщиков обращает внимание на то, что это сильно раздражает.

Так зачем организации это делают? Часто они не дают никаких объяснений, но если всё-таки дают, то говорят о «безопасности». NCSC не думает, что эти опасения обоснованы. Мы считаем, что блокировка вставки паролей (БВП) — это плохая практика, которая ухудшает безопасность. Мы считаем, что пользователям следует разрешить вставлять пароли.

Никто не знает, откуда это пошло

Остаётся загадкой, как появилась практика БВП. Никто не видел какой-то научной статьи, исследования, правила, RFC (технический стандарт правил работы Интернета) или чего-то подобного, с чего всё началось. Если вы знакомы с чем-то, дайте знать в комментариях. Мы думаем, здесь имеет место одна из тех «лучших практик», идеи которых рождаются из обращения к здравому смыслу. Раньше такая идея могла иметь смысл. Учитывая более широкую картину в наше время, сейчас у неё совершенно нет никакого смысла.

Так почему вставка паролей — это хорошо?

Основная причина, почему вставка паролей улучшает безопасность — то, что она снижает перегруженность паролями, о чём мы говорили в нашем «Руководстве по паролям». Разрешение на вставку паролей делает веб-формы хорошо совместимыми с парольными менеджерами. Парольные менеджеры — это программы (или сервисы), которые подбирают, хранят и вводят пароли в формы вместо вас. Они очень полезны, потому что:

  • облегчают хранение разных паролей для разных сайтов;
  • улучшают продуктивность и предотвращают опечатки при вводе паролей;
  • упрощают использование длинных, сложных паролей.

Представьте, что у вас нет парольного менеджера и нет даже того незащищённого документа с паролями. Без парольных менеджеров будет практически невозможно запомнить все пароли. В этом случае вам придётся выбрать один из следующих плохих вариантов:

  • повторно использовать одни и те же пароли на разных сайтах;
  • выбирать очень простые (и поэтому легко подбираемые) пароли;
  • записывать пароли и хранить их в местах, которые легко найти (вроде листочков Post-It на мониторе).

Почему блокировать вставку паролей (БВП) неправильно

Есть другие причины, которыми пытаются оправдать БВП. Маленькое и вводящее в заблуждение зёрнышко правды в этих аргументах может звучать очень убедительно. Давайте разберёмся.

Оправдание 1: «Вставка паролей облегчает брутфорс»

Если разрешить вставку паролей, то вредоносный софт или веб-страница могут непрерывно вставлять пароли, пока не подберут подходящий.

Это дейтсвительно правда, но также правда и то, что есть другие способы проводить брутфорс (например, через API), которые настолько же просты для злоумышленников, но гораздо быстрее. Риск атак с подбором паролей через копипаст очень мал.

Оправдание 2: «Из-за вставки паролей их труднее запомнить, потому что вы реже набираете их вручную»

В принципе это тоже правда: чем чаще вы вынуждены вспоминать что-то, тем легче вспомнить это в следующий раз.

Однако в реальном мире людям приходится создавать пароли в том числе для сервисов, которыми они очень редко пользуются. Это означает, что у них недостаточно времени для практики и небольшие шансы что-либо запомнить. Это оправдание верно только если изначально предположить, что пользователи обязаны помнить свои пароли — а это не всегда так.

Люди также создают пароли для сервисов, которыми пользуются настолько часто, что не могут забыть пароль, даже если бы захотели (что довольно неудобно, если вам нужно регулярно менять пароль), и набор его в дрянную форму снова и снова каждый день просто отнимает у них время. В такой ситуации помогают парольные менеджеры, а БВП их отметает.

Оправдание 3: «Пароль останется в буфере обмена»

Когда пользователь делает копирование и вставку, скопированный контент хранится в буфере обмена, откуда его можно вставить сколько угодно раз. Любое программное обеспечение на компьютере (и любой человек, работающий с ним) имеет доступ к буферу и может просмотреть его содержимое. Копирование нового контента обычно осуществляется поверх старого содержимого и разрушает его.

Многие парольные менеджеры копируют ваш пароль в буфер обмена, чтобы вставить его в форму на веб-сайте. Существует риск, что злоумышленник (или зловред) своруют пароль раньше, чем он удалён из буфера обмена.

Пароли в буфере обмена могут представлять бóльшую проблему, если они вручную копируются из документа на компьютере. Вы можете забыть почистить буфер. Но это не такой уж большой риск, потому что:

  • Большинство парольных менеджеров очищают буфер обмена, как только вставили пароль на веб-сайте, а некоторые вообще не используют буфер, набирая пароль на виртуальной клавиатуре.
  • Веб-браузер Internet Explorer 6 предоставляет вредоносным страницам доступ к буферу обмена; но этим браузером пользуется очень мало людей.
  • Вирусы на компьютере могут скопировать содержимое буфера и получить пароли. Но это всё равно не подходящее оправдание для БВП; если ваш компьютер заражён вирусом, то вы вообще не можете ему доверять. Вирусы и другие зловреды, которые копируют буфер обмена, почти всегда регистрируют все нажатия клавиш, все числа и символы, включая пароли. Они узнают ваш пароль независимо от того, копируете вы его из буфера или вводите вручную, так что БВП немного вам даёт.

Не только наши слова

Не нужно думать, что только мы высказываемся против блокирования вставки паролей. См. блог Троя Ханта (с «Историческим уроком для нас всех») или эту статью в Wired.

Улучшайте безопасность, поддерживая своих пользователей. Пусть они вставляют пароли.

  • пароли
  • вставка паролей
  • копипаст
  • буфер обмена
  • парольные менеджеры

Браузерные менеджеры паролей — изначально ошибочная защита

В этой статье рассказывается об очень серьёзной и распространённой угрозе бизнес-данным, так что давайте сразу же перейдём к ней:

Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.

Если ваши сотрудники используют эти браузеры для хранения своих рабочих паролей, то, скорее всего, возникает серьёзный риск, который легко подвергнуть эксплойтам, он требует вашего немедленного внимания. Вероятно, ваши критически важные внутренние системы бизнес-данных, поставщики и клиенты в гораздо большей опасности, чем вы можете себе позволить.

Есть ли угроза для вас?

Предположим, что ваши сотрудники поступают правильно, создавая сложные, случайные и уникальные пароли для всех аккаунтов, связанных с работой. Но их много: один для корпоративной почты, другой для Dropbox, третий для заказов на платформе поставщика, четвёртый для HR-портала, пятый для AWS, и ещё множество других для всех бизнес-сервисов, которые они используют в работе.

Вам нужно задаться простым вопросом:

«Как наши сотрудники хранят свои рабочие логины и пароли?»

Если вы не давали заранее им никаких рекомендаций или инструментов, то скорее сотрудник поступит одним из трёх способов:

  • Будет записывать пароли на бумажке.
  • Сохранит пароли в документ на своём компьютере.
  • Будет хранить пароли во встроенном менеджере паролей браузера.

Тогда можно быть практически уверенным, что большинство сотрудников использует для хранения своих длинных и сложных паролей браузеры. Хотя подобная система неидеальна, многие компании считают такие встроенные функции «достаточно безопасными». А поскольку браузеры постоянно предлагают свою помощь в сохранении каждого вводимого пользователем пароля, будет неудивительно, что сотрудники хранят их именно так.

Так в чём проблема?

Логично предположить, что готовая стандартная функция популярного браузера должна быть достаточно безопасной, однако она небезопасна по определению!

Вот что мы под этим подразумеваем:

Даже несмотря на то, что Chrome, Firefox и Edge хранят пароли в зашифрованных базах данных, по умолчанию все три продукта намеренно оставляют связанные ключи шифрования совершенно незащищёнными и хранят их в предсказуемых местах.

Скажем прямо: шифрование бесполезно, если ключи не защищены. Зашифрованная база данных менеджера паролей с незащищённым ключом не предоставляет никакой значимой защиты паролям.

Сложно поверить, что в три популярных браузера намеренно добавили функцию, которая столь вопиюще небезопасна. Это кажется совершенно нелогичным!

Что ещё более удивительно, у всех этих браузеров на самом деле есть механизмы для защиты ключей при помощи установки дополнительного master- или primary-пароля, однако он не включён по умолчанию, и браузер никогда не предлагает его активировать!

Почему же вообще эту функцию спроектировали таким образом? Скорее всего, потому, что это простейший способ предложить сохранять пароли в браузерах без дополнительных требований к пользователю установить master-/primary-пароль для защиты ключа шифрования. А если вы уже сохранили несколько паролей, то вероятность того, что вы начнёте пользоваться другим браузером, снижается.

Хотя использование этого небезопасного способа хранения по умолчанию плохо само по себе, ещё более непростительно то, что браузер никогда не уведомляет пользователя, что тот использует небезопасный способ хранения. Это создаёт впечатление, что всё в порядке — поистине ужасная система безопасности!

Можно привести такую аналогию — вы заперли все двери своего дома на самые надёжные замки, но потом положили ключ под коврик, потому что так поступают все соседи. Вам может казаться, что вы в безопасности, но так ли это на самом деле? Если вор легко может понять, где взять ключ, то это точно не так!

Из-за этого браузерного решения, если кто-то сможет получить доступ к системе сотрудника при помощи фишинга, вредоносной программы или любого другого эксплойта, то он с лёгкостью извлечёт все имена пользователей и пароли, хранящиеся в браузере сотрудника. Чуть позже мы покажем, что использовать этот изъян можно тривиальным образом.

Убедитесь сами

Честно говоря, мы не могли поверить, что этот изъян настолько просто использовать, когда он впервые привлёк наше внимание. Разумеется, мы не были абсолютно уверены в безопасности встроенных в браузеры менеджеров паролей, но всегда считали, что взломщику, по крайней мере, придётся использовать баг в браузере или применять сложные технические навыки.

Но нет — нам потребовался всего час, чтобы изучить и собрать окружение-песочницу для подтверждения наличия этого изъяна. При этом оказались не нужны какие-то особые навыки или технические трюки.

В этом коротком видео мы продемонстрировали, как легко будет злоумышленнику извлечь пароли из Chrome, Edge или Firefox, запущенного на настольном компьютере с Windows. Мы использовали каждый из браузеров для создания аккаунта на реальном веб-сайте, а затем запустили скрипт командной строки для расшифровки базы данных каждого браузера и вывода на экран её содержимого, то есть только что введённых имён пользователей и паролей.

То есть на самом деле для сотрудников хуже использовать эти браузерные менеджеры паролей, чем ввести пароли в какой-нибудь документ Word или Excel, а ведь от этой практики вы отговаривали в течение долгих лет. Чтобы понять, почему, просто задайтесь вопросом, что более вероятно: злоумышленник будет прочёсывать скомпрометированную операционную систему, чтобы, возможно, наткнуться на чей-то личный документ с сохранёнными паролями, или просто стянет файлы менеджера паролей, которые хранятся незащищёнными и именно там, где и должны быть?

В итоге он получит полный неограниченный доступ ко всем сохранённым паролям!

Что это значит для вашей компании?

Руководству компаний нужно привыкнуть к мысли, что учётные данные сотрудников (имена пользователей и пароли) — это ещё один вид критически важных бизнес-данных, наряду с исходным кодом, клиентскими данными или документы отдела HR. И при работе с ними нужно принимать те же меры предосторожности.

Многие компании совершенного не осознают этот факт и считают сохраняемые учётные данные сотрудников разновидностью персональных данных. Компания может устанавливать некие правила — требования к сложности паролей, график их смены и так далее, но в общем случае компрометация аккаунтов обычно считается проблемой конкретного человека, а не прямой угрозой бизнесу.

Это очень недальновидно и очень скоро может превратиться в проблему. Представьте следующие ситуации:

  • Ваша компания стала мишенью для киберпреступной группировки, занимающейся вымогательством. Успешная фишинговая атака позволила низкоуровневому вирусу распространиться по корпоративной сети. Единственная задача вредоносной программы — извлечение баз данных и ключей браузеров; благодаря этому хранилище каждого сотрудника оказывается скомпрометированным, открывая возможности объёмной утечки данных.
  • Нацеленная фишинговая атака на вашего финансового директора приводит к компрометации менеджера паролей, в котором хранятся сведения для входа в его электронную почту; таким образом возникает ситуация компрометации бизнес-почты (business email compromise, BEC). Клиенты начинают сообщать, что отправили свои ежеквартальные платежи на новый счёт офшорного банка, потому что получили сообщение, очень похожее на настоящее письмо от финансового директора, с просьбой использовать новый код банка. И это только начало ваших проблем.

Что сделать для управления этим риском?

Если вы отвечаете за безопасность компании, то обязаны защищать все бизнес-данные, в том числе и учётные данные сотрудников. Теперь, когда вам известно об этой опасности, вы обязаны предпринять действия для снижения риска. Нужно обеспечить безопасный и эффективный способ хранения учётных данных сотрудников и сделать так, чтобы они в ближайшее время начали пользоваться им.

Самый простой способ реализовать это — развернуть защищённый специализированный менеджер паролей, например, 1Password, Bitwarden, LastPass или Keeper. Enterprise-версии этих продуктов предоставят вам централизованное управление безопасностью паролей и упростят безопасную передачу учётных данных.

Стоит заметить, что у многих таких специализированных менеджеров паролей есть браузерные плагины или расширения, помогающие пользователям сохранять и вставлять пароли. Они сильно отличаются от встроенных менеджеров паролей и гораздо безопаснее их.

Можно попробовать просто стимулировать сотрудников защищать ключи шифрования установкой упомянутого выше master-/primary-пароля, однако для этого может понадобиться много труда; обычно в долговременной перспективе лучше развернуть специализированный менеджер паролей, пусть даже и с оплатой подписки.

Не знаете, с чего начать? Мы разработали базовый план по восстановлению, который можно адаптировать к потребностям вашей организации.

Предлагаемый план действий

▍ Шаг 1 — примерно оцените свои риски

Созовите совещание отделов ИТ и ИБ, чтобы понять, насколько сложна проблема, с которой вы столкнулись.

Задайте представителям отделов следующие вопросы:

  • Когда в последний раз обновляли и рассылали сотрудникам инструкцию по хранению паролей, и происходило ли это когда-нибудь?
  • Указывает ли компания, какие браузеры считаются приемлемыми? Могут ли сотрудники устанавливать любой нужный им браузер? Есть ли у нас система инвентаризации ПО, показывающая, сколько установлено разных браузеров в нашей компании?
  • Как отделы ИТ и Cloud Ops обмениваются неиндивидуальными паролями, например, аккаунтами от сервисов или логинами root?
  • Есть ли в компании сотрудники, уже использующие специализированные менеджеры паролей по своей инициативе?
  • У каких наиболее критически важных бизнес-систем необходимо защищать логины?
  • Где мы обязательно требуем использовать 2FA / MFA или SSO для входа в критически важные системы?

▍ Шаг 2 — установите временную политику

Если присутствует существенный риск того, что сотрудники используют небезопасные браузерные менеджеры паролей, то выпустите чёткую и конкретную временную политику со следующими требованиями:

  • Все, кто пользуется для хранения паролей браузером Chrome, Firefox или Edge, должны включить функцию шифрования master- или primary-паролем.
  • Все пароли, сохранённые в браузере до включения этой функции, должны считаться подозрительными и подлежат сбросу. Все пароли для критически важных бизнес-систем [здесь нужно указать их список] должны быть сброшены в течение [«X»] дней, а все прочие должны быть сброшены в течение [«Y»] дней.
  • Всем сотрудникам не рекомендуется сохранять новые пароли в своих браузерах, но это допускается при соблюдении приведённых выше условий.
  • Не выполняющие эту политику сотрудники подвергают компанию потенциальной угрозе безопасности и могут быть подвергнуты дисциплинарным взысканиям.

▍ Шаг 3 — донесите до сотрудников изменения политики

  • Объявите о новой политике сотрудникам и предоставьте инструкции о том, как включить функцию шифрования в браузерах.
  • Отдел ИТ должен быть готов помогать сотрудникам с изменениями в конфигурации.
  • Сообщите об изменениях людям, занимающимся введением в штат новых сотрудников, чтобы они обучались политике с начала работы.
  • Повторяйте эту информацию в течение нескольких дней по разным каналам (электронная почта, чаты, совещания менеджеров и так далее), чтобы подчеркнуть важность политики и её соблюдения. Возможно, сотрудникам стоит в явной форме подтвердить своему руководителю или отделу ИТ, что они предприняли все необходимые шаги, указанные в политике.

▍ Шаг 4 — разработайте долговременное решение

  • Соберите высшее руководство, чтобы установить функциональные требования к менеджеру паролей, и выделите небольшую команду для проверки и оценки разных поставщиков. Особое внимание уделяйте функциям безопасности и управления. Обязательным требованием должна быть возможность централизованного принудительного включения 2FA / MFA.
  • Существует несколько продуктов с бесплатными версиями, которые могут быть экономным решением для масштабного развёртывания в крупной, чувствительной к затратам организации. Однако имейте в виду, что чаще всего бесплатные версии предназначены только для индивидуального использования, поэтому вы, скорее всего, не будете иметь контроля за их использованием (например, возможности принудительного включения 2FA / MFA).
  • После выбора продукта приложите большие усилия к разработке материалов обучения сотрудников и инструкций по администрированию для отделов ИТ до общего развёртывания системы для сотрудников. Донесите до всех, что может и чего не может сделать отдел ИТ в помощь сотрудникам, забывшим primary-пароль шифрования.
  • Разработайте план аудита всех хранилищ общих паролей. Как минимум раз в квартал проверяйте, что к общим паролям имеется доступ только у нужных людей.
  • Поработайте с людьми, отвечающими за введение и выведение из штата сотрудников, чтобы новые сотрудники обучались пользованию менеджером паролей и чтобы доступ уволенных сотрудников прекращался должным образом.

Подведём итоги

▍ Немного о «небезопасности по умолчанию»

В статье много раз говорилось о том, что браузерные менеджеры паролей небезопасны «по умолчанию». Но ситуация могла быть и другой — сами их производители (Google, Mozilla, Microsoft) решили сделать так, чтобы максимизировать удобство, полностью скомпрометировав зашифрованное хранилище.

Как говорилось выше, во всех трёх браузерах есть готовые механизмы защиты ключей шифрования. Это можно сделать, задав primary- или master-пароль — по сути, это единственный пароль, который нужно запомнить, помогающий шифровать все другие сохраняемые пароли. Однако это совершенно необязательно должно быть поведением по умолчанию, и такая ситуация ужасна, ведь разработчики точно знали, что большинство пользователей не понимает, как это работает и никогда не будет активировать функцию защиты вручную. Из-за этого риску подвергаются миллиарды пользователей.

Решение этой проблемы очевидно — Google, Mozilla и Microsoft достаточно изменить поведение по умолчанию так, чтобы пароль шифрования был обязательным. Если вы хотите дать пользователям возможность не использовать пароль шифрования, пусть будет так, но они должны вручную деактивировать конфигурацию (со множеством предупреждений о том, насколько это небезопасно).

Специализированные менеджеры паролей (LastPass, Keeper, 1Password, etc.) всегда по умолчанию требуют пароля шифрования с опциональной (но крайне рекомендуемой) 2FA.

▍ А что насчёт MacOS и Safari?

Браузер Safari тесно связан с функциями безопасности Apple ID в MacOS и не имеет этого изъяна в безопасности, поэтому здесь Apple можно похвалить. Даже если в вашей компании уже используются ноутбуки MacOS, маловероятно, что небезопасные Chrome и Firefox будут популярным требованием у сотрудников.

Показанные в видео скрипты эксплойтов, требуют совместимых с Windows модулей Python и тестировались только на браузерах, установленных в Windows. Нам не удалось найти скрипты, выполняющие такой же эксплойт для браузеров Chrome и Firefox, установленных в MacOS. Однако способ хранения внутренних данных браузеров очень схож в обоих операционных системах, поэтому, вероятно, программы в MacOS тоже подвержены этому изъяну, если предположить, что подобные модули расшифровки на Python есть для MacOS или их можно написать.

▍ Спасибо, но мы уже используем отдельный менеджер паролей

Это здорово, но риск всё равно может быть. По умолчанию встроенные браузерные менеджеры паролей так раздражающе настойчиво просят сохранить пароли, что велика вероятность того, что ваши сотрудники случайно (или намеренно) сделали это.

Организации, выбравшие браузер, который они рекомендуют использовать своим сотрудникам, могут пойти ещё дальше и отключить его встроенный менеджер паролей или при помощи принудительной технической политики, или настроив браузер перед передачей ноутбука сотруднику. В Chrome, Firefox, и Edge есть возможность сделать это относительно просто, если у вас есть централизованная реализация политик конфигурирования.

▍ Можете показать, как вы тестировали этот изъян?

Мы намеренно не раскрываем подробностей, демонстрирующих работу скриптов эксплойтов, и не говорим, откуда их взяли. Эта статья не является туториалом по выполнению эксплойта. Наша цель — привлечь внимание бизнес-сообщества к этой угрозе безопасности данных.

Все скрипты были найдены в свободном онлайн-доступе и незначительно изменены для удобства демонстрации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *