Это компромисс безопасности, а не слабость безопасности. Из-за самой природы паролей, если они хранятся таким образом, чтобы их можно было использовать (т. Е. Для заполнения формы), они хранятся таким образом, что их можно извлечь, независимо от того, какая схема используется для хранения или зашифровать их. Скрытие опции показа пароля не меняет того факта, что само приложение в какой-то момент вынуждено его извлекать - и когда это происходит, оно подвергается различным способам его извлечения.
Это звучит как довольно зияющая дыра, пока вы не учитываете другие факторы на работе.
- Чтобы получить пароли, злоумышленник должен получить доступ к учетной записи пользователя или учетной записи администратора в системе, в которой они хранятся, как правило, с помощью вредоносного программного обеспечения, серфинга по бездействию, необслуживаемого, но незаблокированного компьютера или в некоторых случаях, когда он имеет физический доступ. , через инструменты восстановления.
- Если злоумышленник может выполнить любое из вышеперечисленных действий, он может вмешаться в работу системы другими способами, включая установку клавиатурных шпионов, программного обеспечения для дистанционного управления, снифферов и программного обеспечения для записи на рабочем столе, поэтому введенный пароль не обязательно будет более безопасным, чем хранится один.
- Пользователь, который хранит пароли, с большей вероятностью будет использовать уникальные пароли между сайтами, и гораздо чаще будет использовать надежные пароли.
- Сохраненный пароль потенциально более безопасен, чем заметка под клавиатурой, так как кто-то на самом деле должен войти в свою учетную запись пользователя, чтобы просмотреть его, в то время как он может запомнить, украсть, вручную скопировать или сфотографировать запись.
В действительности, сохраненный пароль подвергается примерно тому же риску, что и введенный пароль для определенного злоумышленника, поскольку определенный злоумышленник будет готов к таким возможностям, как разблокированный ПК или незащищенный офис. Немного потренировавшись и заранее подготовившись, USB-накопитель или веб-сайт можно подготовить для установки руткита менее чем за 15 секунд - меньше, чем требуется для получения чашки кофе. Если вы беспокоитесь о том, что кто-то сядет и покажет сохраненные пароли, у вас будут гораздо большие проблемы с незащищенным и необслуживаемым ПК.
Что касается мастер-паролей, они являются хорошим инструментом, но не слишком доверяйте им. Серьезный злоумышленник, у которого есть возможность подойти к вашему мастер-паролю, уже достаточно далеко, чтобы вставить кейлоггер. Это умеренная защита от взлома и запуска атак на базу данных, пока система выключена, и хорошая защита от случайных взломов, но она не остановит того, кто серьезно хочет получить ваш пароль, от использования незаблокированного компьютера.
В итоге:
- Сохранение паролей на компьютере само по себе не является серьезной угрозой безопасности, но это усугубляет фактор, который может помочь плохим парням воспользоваться вашей небрежностью, если вы оставите свой компьютер незапертым или позволите кому-то другому пользоваться компьютером, пока Вы вошли в систему. (Они могут нанести тот же ущерб без сохранения ваших паролей - сохраненные пароли просто облегчают их.)
- Сохранение вашего пароля на компьютере облегчает использование безопасных уникальных паролей.
- Основные дисциплины безопасности, такие как не уходить от компьютера без его блокировки, не делиться своими паролями, не сохранять СВОЙ пароль в интересах другого пользователя на своем ПК и не позволять кому-либо работать под вашим логином, являются гораздо более важными соображениями безопасности, чем или не сохранять пароли.
- Мастер-пароль все еще является хорошей идеей, если у вас есть возможность (глубокая защита), но не позволяйте ему создать ложное чувство безопасности. Это дополнительный фактор, а не повод быть небрежным в другом месте.
