Cách ngăn mọi người xem mật khẩu đã lưu của trình duyệt của bạn
Bạn đã bao giờ lưu mật khẩu trong trình duyệt của mình - Chrome, Firefox, Internet Explorer hoặc một mật khẩu khác chưa? Sau đó, mật khẩu của bạn có thể được xem bởi bất kỳ ai có quyền truy cập vào máy tính của bạn trong khi bạn đăng nhập.
Các nhà phát triển của Chrome và Firefox nghĩ rằng điều này là tốt, vì bạn nên ngăn mọi người truy cập vào máy tính của bạn ngay từ đầu, nhưng điều này có thể sẽ gây ngạc nhiên cho nhiều người.
Làm thế nào bất cứ ai có quyền truy cập vào máy tính của bạn có thể xem mật khẩu của bạn
Giả sử bạn để máy tính của mình đăng nhập và người khác sử dụng nó, họ có thể mở trang Cài đặt của Chrome, đi tới phần Mật khẩu và dễ dàng xem mọi mật khẩu bạn đã lưu.
Bạn có thể cắm chrome: // cài đặt / mật khẩu vào thanh địa chỉ của Chrome để dễ dàng truy cập trang này. Nhấp vào trường mật khẩu và nhấp vào nút Hiển thị - bạn có thể thấy bất kỳ mật khẩu nào được lưu trong Chrome mà không cần thêm lời nhắc.
Với cài đặt mặc định của Firefox, bạn có thể mở cửa sổ Tùy chọn của nó, chọn ngăn Bảo mật và nhấp vào nút Mật khẩu đã lưu. Chọn Hiển thị mật khẩu và bạn có thể thấy danh sách tất cả mật khẩu được lưu trong Firefox trên máy tính của bạn.
Firefox cho phép bạn thiết lập mật khẩu chính của mật khẩu, phải nhập trước khi bạn có thể xem hoặc sử dụng mật khẩu đã lưu, nhưng điều này bị tắt theo mặc định và Firefox không nhắc người dùng thiết lập một mật khẩu.
Internet Explorer không cung cấp cách tích hợp sẵn để xem mật khẩu đã lưu. Tuy nhiên, bảo mật rõ ràng này là sai lệch. Với tiện ích như IE PassView miễn phí, bạn có thể xem tất cả mật khẩu IE đã lưu cho tài khoản người dùng hiện tại. Bạn cũng có thể xem mật khẩu mà không cần cài đặt bất kỳ phần mềm nào - chỉ cần truy cập trang web nơi mật khẩu được tự động điền và sử dụng một cái gì đó như bookmarklet Reveal Passwords để tiết lộ mật khẩu được nhập tự động.
Những gì đang xảy ra ở đây? Đây có phải là một lỗ hổng bảo mật?
Đã có một cuộc tranh luận nổ ra giữa các chuyên viên máy tính về việc liệu đây có thực sự là một lỗ hổng bảo mật hay không. Các nhà phát triển của Chrome (và nhà phát triển của các trình duyệt khác, như Internet Explorer và thậm chí Firefox với cài đặt mặc định của nó) có nên thay đổi hành vi này không? Người dùng đã bị các nhà phát triển phản bội, vì các trình duyệt không cảnh báo người dùng về hành vi này?
Một mặt, có một số lập luận tốt cho hành vi hiện tại.
- Chrome và Internet Explorer đều bảo mật mật khẩu đã lưu của bạn bằng mật khẩu tài khoản người dùng Windows. Nếu bạn chưa đăng nhập, mật khẩu của bạn không thể truy cập được. Nếu kẻ tấn công thay đổi mật khẩu tài khoản Windows của bạn, mật khẩu của bạn sẽ không thể truy cập được. Giả sử bạn sử dụng mật khẩu Windows mạnh và khóa máy tính của bạn khi bạn không sử dụng nó, về mặt lý thuyết bạn an toàn.
- Nếu kẻ tấn công có quyền truy cập vật lý vào máy tính của bạn hoặc một chương trình độc hại đang chạy ẩn, nó có thể ghi lại các nét chính của bạn và lấy bất kỳ mật khẩu chính chủ nào được sử dụng để bảo mật mật khẩu của bạn trong Firefox hoặc trình quản lý mật khẩu chuyên dụng như LastPass. Mật khẩu chính trong Chrome sẽ cung cấp cảm giác bảo mật sai.
- Mật khẩu chủ là một phương thức bảo mật bổ sung có thể gây bất tiện cho người dùng trung bình, những người sẽ chọn tắt nó đi. Người dùng sẽ không muốn nhập mật khẩu chính trước khi sử dụng mật khẩu đã lưu.
- Nếu trình duyệt của bạn đã được đăng nhập vào tài khoản trên một trang web, kẻ tấn công có thể có quyền truy cập vào tài khoản của bạn trên trang web đó nếu họ có quyền truy cập vào trình duyệt của bạn.
Mặt khác, người dùng không tuân theo các thực tiễn bảo mật hoàn hảo trong thế giới thực:
- Nhiều người chia sẻ tài khoản người dùng Windows, đặt máy tính của họ tự động đăng nhập hoặc cho phép khách sử dụng máy tính của họ mà không phải nhìn qua vai họ suốt. Điều này làm cho việc truy cập mật khẩu lưu trở nên tầm thường. Bất cứ ai thậm chí tò mò từ xa cũng có thể liếc nhìn các mật khẩu.
- Mật khẩu chính sẽ cho phép người dùng bảo mật hơn nữa cơ sở dữ liệu mật khẩu của họ, cho phép họ lưu mật khẩu mà không phải lo lắng về việc khách sử dụng máy tính của họ và bị cám dỗ liếc nhìn họ.
- Nhiều mật khẩu tài khoản người dùng Windows cực kỳ yếu, do đó mật khẩu sẽ có ít sự bảo vệ. Nhiều người cũng không khóa máy tính của họ mỗi khi họ rời đi.
- Chrome cung cấp nhiều hồ sơ người dùng, khuyến khích người dùng chia sẻ hồ sơ Chrome trên một tài khoản người dùng, nhưng không cung cấp phương pháp cách ly các cấu hình này và ngăn các hồ sơ người dùng Chrome khác truy cập mật khẩu tài khoản khác
- Nếu kẻ tấn công có được quyền truy cập vào trang web đã đăng nhập nhưng không có mật khẩu của bạn, họ sẽ không thể thay đổi mật khẩu hoặc xóa tài khoản của bạn.
- Người dùng trung bình có thể mong đợi rằng mật khẩu của họ khó xem hơn. Không có cảnh báo nào cho họ biết rằng bất kỳ ai có quyền truy cập vào máy tính của họ đều có thể xem mật khẩu đã lưu hoặc họ nên đặt mật khẩu Windows mạnh và khóa máy tính của họ khi họ rời khỏi chúng.
Vậy bên nào đúng? Chà, Chrome bảo mật mật khẩu của bạn nếu bạn tuân theo các quy trình bảo mật lý tưởng. Điều đó nói rằng, Chrome (và IE và Firefox trong cấu hình mặc định của nó) cũng không cung cấp đủ thông tin cho người dùng về những gì nó đang làm. Trong thế giới thực, mật khẩu chủ có thể hữu ích với nhiều người.
Cách bảo vệ mật khẩu đã lưu của bạn
Nếu bạn lo lắng về mật khẩu đã lưu của mình, đây là một số mẹo bạn có thể sử dụng để bảo vệ chúng khỏi những con mắt tò mò:
- Sử dụng trình quản lý mật khẩu chuyên dụng, như LastPass. Các trình quản lý mật khẩu này hoạt động với mọi trình duyệt và cung cấp mật khẩu chính khóa quyền truy cập vào mật khẩu của bạn khi bạn đăng xuất. Các nhà phát triển của Chrome có thể không muốn cung cấp cho bạn tính năng mật khẩu chính, nhưng bạn có thể tự thêm nó bằng cách sử dụng LastPass thay cho trình quản lý mật khẩu mặc định của Chrome. Đây là một tùy chọn mạnh mẽ hơn, cũng như các trình quản lý mật khẩu khác như KeePass.
- Nếu bạn sử dụng Firefox, hãy bật tính năng mật khẩu chính. Điều này được tắt theo mặc định vì các nhà phát triển của Firefox không thích trải nghiệm người dùng, nhưng mật khẩu chính cho phép bạn khóa Khóa cơ sở dữ liệu mật khẩu của bạn bằng một mật khẩu chính. Sau đó, bạn có thể chia sẻ tài khoản người dùng của mình với người khác và họ sẽ không thể lướt qua mật khẩu của bạn. Chắc chắn, họ có thể cài đặt một trình ghi nhật ký khóa trong khi bạn không tìm kiếm, nhưng nhiều người có thể muốn xem trộm mật khẩu của bạn sẽ không muốn sử dụng trình ghi nhật ký khóa. Đây là lý do tại sao chúng tôi khóa cửa của chúng tôi - ổ khóa không hoàn hảo, nhưng họ giữ cho những người trung thực trung thực.
- Nếu bạn sử dụng Chrome hoặc Internet Explorer và muốn tiếp tục sử dụng trình quản lý mật khẩu tích hợp, hãy đảm bảo bạn thực hiện các thực tiễn bảo mật tốt. Đặt mật khẩu tài khoản người dùng Windows mạnh và khóa máy tính của bạn bất cứ khi nào bạn rời khỏi nó. Ai đó có quyền truy cập vào máy tính của bạn khi đăng nhập có thể nhanh chóng lướt qua mật khẩu của bạn - đặc biệt là với Chrome.
Muốn biết thêm thông tin chi tiết về mức độ an toàn của mật khẩu đã lưu trong trình duyệt bạn sử dụng? Kiểm tra chuyên sâu của chúng tôi về bảo mật mật khẩu của Chrome và bảo mật mật khẩu của Internet Explorer.