不要再让Chrome浏览器管理你的密码

94次阅读
没有评论
不要再让 Chrome 浏览器管理你的密码

专家们一直认为,依赖 Google Chrome(或任何浏览器)来管理密码是一个非常糟糕的方法。

密码管理程序自 90 年代就已出现,主流浏览器在 21 世纪初将密码管理作为内置功能。从那时起,安全人员就建议将密码从不安全的浏览器存储中取出,而是放入适当且保护良好的密码管理器中。当时,我们可以指出密码管理器会从浏览器中提取密码,从浏览器中删除它们,并关闭进一步的基于浏览器的密码捕获。这听起来肯定不安全!

幸运的是,浏览器已经进步,不再让你的密码如此容易被操控。例如,如果你想切换到专用密码管理器,你可能需要主动从浏览器导出密码并将其导入新的管理器中。

但是,浏览器是否已经取得了足够的进步,以至于我们可以建议将密码存储在其中?具体来说,你应该使用内置在 Chrome 中的 Google 密码管理器吗?根据专家的说法,答案仍然是不行。

即使是专用的密码管理器也可能泄露信息

对于密码管理公司来说,信任至关重要。严肃的竞争者使用零信任技术来保护你的加密数据,这意味着没有人(包括密码公司和政府),能够知道你的主密码或解密你的数据。

即便如此,实施过程中的错误也会带来风险。去年 8 月的一系列曝光显示,黑客入侵了 LastPass 一名关键员工的计算机,窃取了大量加密数据库。更糟糕的是,一些重要的数据元素(如登录域)没有加密。现在很难再信任 LastPass。

KeePass 是技术人员最喜爱的密码管理器之一,因为它是开源软件。然而,这种开源自由也成为其致命弱点。任何人只要访问了你的计算机,无论是通过远程访问木马还是趁你不在时,都可以轻松地导出所有 KeePass 密码并将其发送到互联网。最新的 KeePass 更新 2.53.1 已经删除了无需输入主密码即可导出密码的选项。

如何启用或禁用 Google 密码管理器

在讨论是否应该使用 Google 密码管理器之前,让我们先来看一下如何关闭它(或者启动它,如果你愿意的话)。首先,确保你已在所有想要共享密码的 Chrome 实例中启用同步功能。点击 Chrome 窗口右上角的三点菜单,然后点击设置。左侧菜单中的顶部项目,标题为“Google 头像”,应该首先被选中;如果没有,请点击它。在出现的对话框中,你可以打开或关闭同步。

不要再让 Chrome 浏览器管理你的密码

现在点击“我的”和“Google”下方的“自动填充和密码”,然后点击“Google 密码管理工具”。如果您想使用 Google 密码管理器,请打开“提供保存密码”和“自动登录”选项。如果不想,请关闭它们。

想要了解更多信息,可以阅读如何掌握 Google 密码管理器。不,从安全角度来看,我们不推荐它;但是,我们知道有些人会为了方便而牺牲安全。

浏览器密码管理器很方便但很危险

Smalakys 首先警告不要使用浏览器密码管理器,他表示:“尽管网络安全专家不断警告浏览器密码管理器存在漏洞,但互联网用户仍然陷入‘但它很方便!’的陷阱。”Lurey 对此表示同意,并指出最近的 Keeper 博客文章列出了浏览器密码管理器不安全的长长清单。

零信任加密是专用密码管理器无需访问主密码即可保证数据安全的原因。“Google 的密码管理器不使用零信任加密,”Lurey 表示。“实际上,Google 可以看到您保存的所有内容。他们有一个‘可选’功能来启用设备上的密码加密,但即使启用,解密信息的密钥也会存储在设备上。”

Smalakys 也认为浏览器中存储的数据不像密码管理器那样受到保护。“黑客使用社会工程学方法诱骗互联网用户下载新的扩展程序,这些扩展程序可以轻松提取存储在浏览器中的数据,”他指出。他接着说,“虽然云存储密码没有问题,但公司必须确保用户的数据在存储在云中之前是加密的。因此,互联网用户应该选择保证端到端加密的服务提供商。”

克兰德尔向谷歌抛出了橄榄枝,他说:“有密码管理器总比没有好”,但他接着警告说:“基于浏览器的密码管理器的局限性在于它们只能在封闭的环境中工作。如果你需要在另一个浏览器或浏览器无法访问的环境中操作,那你就倒霉了。”

密码管理器有更多功能

Lurey 列举了 Chrome 内置密码管理器不符合专用密码管理程序标准的简单原因。首先,它是 Chrome 独有的;如果你使用其他浏览器,你就麻烦了。它没有安全共享密码的选项,也没有为你的密码集合建立数字继承者。浏览器只存储密码,不存储地址、帐号和信用卡等个人信息。

Crandell 还强调了基于浏览器的密码系统缺乏重要功能。他指出,此类系统缺乏“与同事和家人安全共享密码、支持生物识别登录和安全密钥、报告密码是否薄弱、是否重复使用或是否被破解、与 SSO 等工作系统集成以及许多其他功能。”

Smalakys 表示:“许多浏览器不需要主密码或多因素身份验证 (MFA) 批准。”Google 允许使用 MFA,但并不要求这样做。而且,确实没有主密码。如果您离开办公桌时 Chrome 处于活动状态,则任何有访问权限的人都可以登录您的帐户。如果您让别人使用您的手机,情况也是如此。

浏览器锁定你

“要小心不要把自己锁在任何一家大公司的围墙花园里,”克兰德尔警告说。“拥有在所有平台和环境中工作的自由很重要,无论是浏览器、移动设备还是桌面操作系统。”

Smalakys 指出了关联账户的危险性。“在使用 Chrome 浏览器的情况下,其安全性取决于关联的 Gmail 账户的安全性,”他说。“如果这个 Gmail 账户被盗,黑客可以毫不费力地访问保存在浏览器中的所有其他账户的密码。”同样,Lurey 指出,“用户必须完全信任 Google 会保护他们的信息。”如果您的 Google 账户被盗,您的所有密码也会被盗。

浏览器是为浏览而设计的;密码管理是事后才考虑的。“专用密码管理器正在全力开发安全的密码管理器,并通过独立审核,以确保安全性,”Smalakys 总结道。Crandell 表达了类似的看法,他说:“领先的密码管理器 100% 专注于实现最佳安全性和密码的多种用例,因此功能更丰富。”

底线是,获得一个真正的密码管理器

Google 密码管理器不使用零信任加密技术来保护密码数据。它甚至不使用主密码。专用密码管理器提供许多浏览器无法提供的功能。而且,你只能在 Chrome 或 Android 中使用 Google 的密码系统。这些都是你应该使用专用密码管理器而不是依赖 Chrome 的理由。

Google 密码管理器作为免费浏览器的免费功能提供,非常方便。但这并不是接受有限密码安全性的充分理由。我们评估了许多免费密码管理器,它们以零价格为您的密码提供严密保护 – 请使用其中之一。

正文完
 0
gaoqian
版权声明:本文于2024-07-21转载自PCMag,共计2623字。
转载提示:此文章非本站原创文章,若需转载请联系原作者获得转载授权。
评论(没有评论)
验证码