Interneto naršyklės „Chrome“ ir „Firefox“ leidžia bet kam pamatyti išsaugotus slaptažodžius

Programuotojas Elliottas Kemberis pastebėjo, kad „Chrome“ nustatymuose pasirinkus slaptažodžių tvarkyklę (ją rasite šios naršyklės adreso eilutėje įvedę chrome://settings/passwords) išsyk galima pamatyti visus saugomus slaptažodžius. Maža to, jie yra neužšifruoti, o norint pamatyti konkretų slaptažodį (pvz., kokį vartotojas naudoja jungdamasis prie „Facebook“, „Gmail“ ar bet kokios kitos tarnybos) tereikia spustelėti mygtuką „Rodyti“. Šalia rodomas ir prisijungimo vardas.

Analogiškai elgiasi ir kita populiari interneto naršyklė „Firefox“ – jos nustatymuose „Saugumo“ skiltyje pasirinkus išsaugotų slaptažodžių tvarkyklę taip pat galima nesunkiai pamatyti visus vartotojo prisijungimus.

Dar dvi populiarios interneto naršyklės, „Internet Explorer“ ir „Safari“, elgiasi kiek kitaip – nors jos taip pat gali saugoti slaptažodžius, norėdamas juos pamatyti vartotojas turi įvesti kompiuterio administratoriaus slaptažodį. Taigi jei juos bando nugvelbti tik trumpam prie kompiuterio prisėdęs svetimas žmogus, taip lengva nebus.

Tuo tarpu naršyklė „Opera“ leidžia matyti tik svetainių, kurių prisijungimo informaciją saugo, adresus – nei vartotojo vardas, nei pats slaptažodis nėra rodomi.

„Chrome“ saugumo tarnybos vadovas Justinas Schuhas teigia, kad laikyti to saugumo spraga nederėtų, esą slaptažodžiai nėra slepiami nuo kompiuterio naudotojo, nes tai neturi prasmės. „Mes nustatėme, kad ribojimai, kai vartotojas yra prisijungęs prie operacinės sistemos savo vardu, nėra patikimi ir būtų tik teatras.

Įsivaizduokite, jei koks piktavalis gautų prieigą prie jūsų kompiuterio – jis galėtų persikelti visų prisijungimų „sausainėlius“, naršymo istoriją ir įdiegti kenkėjišką naršyklės priedą, kad galėtų bet kada įsiterpti į jūsų naršymą, arba pačioje operacinėje sistemoje įdiegti virusų. Noriu pasakyti, kad jei kompiuterį gaus piktavalis, žaidimas pralaimėtas, nes tiesiog yra daugybė dalykų, ką jis gali padaryti“, – sako J.Schuhas.

Jis rekomenduoja atsitraukiant nuo kompiuterio atsijungti nuo kompiuterio vartotojo profilio (angl. log off), o skolinant kompiuterį kitiems žmonėms – sukurti naują profilį būtent jiems.

Grėsmės

Galimybė lengvai pamatyti slaptažodžius kelia grėsmę, kad juos gali sužinoti pašaliniai žmonės ir, pavyzdžiui, be vartotojo žinios prisijungti prie jo sąskaitų. Sužinojus kelis slaptažodžius (pvz., el. pašto, socialinių tinklų) galima per kelias minutes pavogti žmogaus tapatybę.

Ypatingą dėmesį derėtų skirti el. paštui, kuriuo dažniausiai užregistruojamos įvairios paskyros, nes gavęs prieigą prie jo pašalinis asmuo galės be didesnio vargo pakeisti ir visų kitų paskyrų prisijungimo duomenis. Atstatyti jų vartotojas nebegalės, nes nauji slaptažodžiai ar patvirtinimo nuorodos bus siunčiamos el. paštu. O kol el. pašto tiekėjas grąžins jums priklausančią paskyrą, sumanesnis įsilaužėlis kitose paskyrose jau bus pakeitęs ir kontaktinius duomenis.

Todėl siekiant užtikrinti maksimalią apsaugą rekomenduojama naudoti dviejų žingsnių patikrinimą, kuomet prisijungiant prie svetainės ir įvedus prisijungimo vardą bei slaptažodį paslaugos tiekėjas apie prisijungimą praneša telefonu. Vienos tarnybos (pvz., „Facebook“) tiesiog informuoja apie prisijungimą ir pateikia informaciją kaip elgtis, jei prisijungėte ne jūs; kitos (pvz., „Google“/„Gmail“, „Microsoft“/„Hotmail“, „PayPal“, „eBay“, „Twitter“, „Dropbox“) siunčia specialų kodą, kurį reikia įvesti prisijungimo metu.