שומרים סיסמאות בכרום ובפיירפוקס? הן חשופות לכולם, בערך
האם אי פעם עצרתם לחשוב כיצד ממשק שמירת הסיסמאות בכרום ובפיירפוקס עובדים? ספויילר: הם מציעים את הסיסמאות שלכם לכל מי שיצליח לשים את ידיו על המחשב שלכם.
במידה ואתם משתמשים בפיצ'ר המובנה של דפדפן כרום או פיירפוקס לשמירת שמות המשתמש והסיסמאות שלכם, ייתכן שלאחר שתבינו כיצד המנגנון עובד תעדיפו להעביר את כל הסיסמאות שלכם למקור חיצוני. עיצוב ברירת המחדל של הדפדפנים הללו מאפשרת לכל בעל גישה בסיסית למחשב שלכם לצפות בסיסמאות שלכם, כטקסט רגיל ולא מוסתר וללא שום בעיה.
סיסמאות לכלל השירותים
אבטחת מידע הפכה לעניין רציני בתקופה האחרונה. האקרים, אקסים נקמניים או סתם משתמשים המעוניינים למכור מידע מנסים לפרוץ לעשרות חשבונות אימייל, פייסבוק ואפילו אינסטגרם כאשר המשתמשים צריכים לדאוג ולתחזק סיסמאות שונות לכל אחד מהשירותים, מה שהופך למעט מסורבל ללא עזרה חיצונית.
בעוד שקיימים כיום עשרות ואף מאות פתרונות לשמירת סיסמאות, משתמשים רבים עדיין מעדיפים להשתמש באפשרות שמירת הסיסמאות המוגדרת כברירת המחדל בדפדפנים. למה לא, בעצם? כל שמות המשתמש והסיסמאות נמצאים במקום אחד ונשמרים על גבי מחשביהם האישיים של המשתמשים, כאשר אלה יכולים להכנס לכל אתר מאובטח בכמה לחיצות כפתור בודדות – מבלי לזכור מחרוזות טקסט וסימנים ארוכים ומסובכים במיוחד.
בעוד שמדובר על פתרון שנראה מאובטח, שכן אינכם צריכים לשתף את המידע שלכם עם אתרי צד שלישי או להסתבך עם התקנת תוספים ושינויי הגדרות, סביר להניח שמידי פעם אתם מוצאים את עצמכם משאירים את המחשב האישי ללא השגחה בזמן שאתם קופצים לשירותים, במחשבה שהכל יהיה בסדר וכל המידע שלכם בטוח. ובכן, אתם טועים.
מידע חופשי לבעל המחשב
בהנחה ואתם עובדים עם אחד או עם שני הדפדפנים המובילים כיום בשוק, כרום ופיירפוקרס ונמנים עם המשתמשים השומרים את הסיסמאות שלהם באמצעות מנהל הסיסמאות הפנימי, יש לנו חדשות מעט רעות עבורכם. הסיסמאות החשובות והיקרות שלכם זמינות לכל מי שיצליח לשים את ידיו על המחשב שלכם, מבלי שבכלל תהיו מודעים לכך.
בדפדפן כרום, כל מה שתצטרכו לעשות הוא להקליד את מחרוזת הטקסט הבא בשורת הכתובת: chrome://settings/passwords ולהווכח בעצמכם. בחלונית שתפתח יופיעו האתרים, שמות המשתמש וכמובן, הסיסמאות שלכם לשירותים השונים – הזמינים לכל מי שיצליח לשים את ידיו על המחשב שלכם. אז נכון, הסיסמאות מוצגות בצורה מוצפנת במבט ראשוני, אבל לחיצה פשוטה על כפתור ה-Show פשוט תציג לכם את המידע מבלי לבקש סיסמאות, אישורים או כל דבר נוסף מלבד לחיצה על הכפתור.
בפיירפוקס קיימת אותה בעיה, כניסה אל התפריט הראשי ובחירה ב-Options, ולאחר מכן בטאב Security תציג לכם כפתור שלחיצה עליו תציג את כל הסיסמאות השמורות: Saved Passwords. גם כאן התצוגה הראשונית כוללת את שם האתר והמשתמש בלבד, אבל לחיצה על כפתור Show Passwords ואישור הצפייה תציג את הסיסמאות בטקסט גלוי לכם, למי שעומד לידכם ולמי שהצליח לשים את ידיו על המחשב שלכם.
אז נכון, במידה והמחשב הפיזי שלכם נמצא בידיהם של זרים הוא כבר אינו מאובטח, אבל זה יהיה הרבה יותר נחמד אם כל מה שהם יוכלו לעשות זה להחליף סטטוס בחשבון הפייסבוק שלכם שכבר פתוח, ולא לשלוח אימיילים לכולם בשמכם או לגשת לאתרים קצת יותר חשובים עבורכם.
אז מה אפשר לעשות?
התשובה הפשוטה והמהירה ביותר תהיה לעבור להשתמש בשומר סיסמאות חיצוני, כגון 1Pass, LastPass ודומיהם. תוכלו להעזר בתוכנות צד שלישי על מנת להעביר את המידע השמור בדפדפן אל אחד מהשירותים הללו, אך חשוב להבהיר שמדובר על הליך מעט מסורבל שעתיד לקחת לכם יותר מכמה דקות בודדות במידה והכנסתם כמות נכבדה של סיסמאות לדפדפן.
בפיירפוקס תוכלו להגדיר סיסמה ראשית שרק באמצעותה ניתן יהיה לגשת לרשימת שמות המשתמש והסיסמאות. תוכלו לעשות זאת באמצעות כניסה לתפריט Options, בחירת בטאב Security וסימון התיבה Use a Master Password. בדומה לשירותים החיצוניים, גם כאן במידה ותשכחו את הסיסמה תעמדו בפני בעיה לא קלה של שחזור – שעלולה להסתיים במחיקת הדפדפן כולו והתקנתו מחדש, וכמובן איבוד מלאי הסיסמאות הקיים.
תשובה של אחד מעובדי גוגל שפורסמה ב-2010 מסבירה שהחברה אינה מאמינה ששימוש בסיסמה ראשית יעזור להגנה על המשתמשים, כך שאינה מתכננת להוסיף אפשרות זאת בקרוב. אמנם עברו שלוש שנים מאז, אבל בינתיים האפשרות אינה קיימת בדפדפני כרום – ומשתמשים שזהו הדפדפן העיקרי שלהם יצטרכו למצוא דרכים יצירתיות לשמור על המידע הרגיש שלהם.
בשורה התחתונה העצה הטובה ביותר שאנו יכולים להעניק לכם היא לשמור על המידע שלכם מוגן. השתמשו בסיסמה על המחשב שלכם ודאגו לנעול אותו בכל פעם שאתם עוזבים אותו ליותר מכמה שניות – גם אם אתם נמצאים בסביבה "בטוחה" כמו הבית או המשרד.
מקור תמונה: Shutterstock.
הגב
25 תגובות על "שומרים סיסמאות בכרום ובפיירפוקס? הן חשופות לכולם, בערך"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
חן, שכחת לרשום בתחילת הכתבה : "מדור פרסומי"
מדור פרסומי? לכרום או לפיירפוקס שעל שניהם היא יורדת שם? וחוץ מזה, כדאי שתנסה בעצמך, אולי תופתע
כן, זו פרסומת ל LastPass
ברגע שיש גישה פיסית למחשב גם LastPass לא יעזור
ואם תוריד את הקישור של LastPass, האם אין ערך חדשותי לכתבה?
לא מדובר פה בשום דבר חדש, ולכן הערך החדשותי של הידיעה הזו מוטל בספק.
בשבילך הדבר לא חדש, אבל אל תשכח שלא כולם גאוני העולם כמוך, ולכן הידע השיפוטי שלך מוטל בספק.
ברצינות, גיקטיים?
אני אשמח אם תסבירו בצורה פשוטה ומפורטת כיצד כלים חיצוניים עוזרים לשמירה טובה יותר על הססמאות שלנו, ובדגש על אלו שלא דורשים הזדהות מחודשת בכל הפעלה של הדפדפן וכאלה שלא טורחים להצפין את הססמאות שלנו בצד השרת (כמו כלי סינכרון הנתונים של גוגל, ובניגוד גמור לזה של פיירפוקס, כי במוזילה לפרטיות המשתמש יש ערך חשוב).
כדי לבטל את כפתור "show" בכרום, יש את הפיתרון הבא:
edit : C:\Users\[username]\AppData\Local\Google\Chrome\User Data\Default\User StyleSheets
Open file Custom.css
Add the following:
.password .list-inline-button {display:none !important;}
עובד מעולה, תודה!
למרות שמישהו טיפה חכם יוכל לגשת לקובץ ולרוקן אותו…אבל עדיין, אחלה פטנט!
גם אם יחסמו את האפשרות הזאת יש דרך מאד פשוטה לחשוף סיסמה:
1. מתקינים תוסף קורא headers כמו firebug בפיירפוקס לדוגמא.
2. נכנסים לאתר שבו יש את הסיסמה השמורה.
3. נכנסים לחשבון המבוקש באמצעות הסיסמה השמורה.
4. נכנסים לתוסף שהתקנו מקודם ומאתרים את ה-packege המבוקש, מסוג post.
5. מאתרים את ה-header המבוקש שמכיל את הסיסמה.
6. הסיסמה בידינו!
הרבה יותר פשוט לשנות עם Firebug או Firefox Inspector את הכתובת אליה ישלח הטופס הממולא, ולהעביר אותו לדף שמציג את רשימת כל השדות שנשלחו בטופס, כמו למשל זה שמופק ב־PHP באמצעות print_r($_POST) או phpinfo()…
פתטי. כתבה פתטית.
חן, את עלובה במקרה הטוב.
זה פשוט העתקה מפה: http://blog.elliottkember.com/chromes-insane-password-security-strategy
בלי לתת את הקרדיט הראוי ומסביב ניסית להוסיף שטויות שרק הפכו את הכתבה הזאת לדפוקה.
שום ערך "עיתונאי". בוז.
או מפה: http://www.pcworld.com/article/2046106/google-chrome-policy-exposes-user-passwords-on-purpose-heres-how-to-prevent-it.html
גיקטיים, לא מספיק שאתם מזלזלים באינטיליגציה של הקוראים שלכם, אתם גם מאבדים אותנו בקצב הזה! למה להיכנס לכאן כשאתם ממחזרים כתבות מחו"ל?
ברשותך רק הערה קטנה:
אלא אם תאריך עריכת הכתבה כאן לא כתוב,
הכתבה פורסמה נכון לרגע זה לפני שכתבת את מה שכתבת, ואם תשים לב בתמונה של seriously, chrome מוזכר השם בלינק שכתבת כבר.
* לא מנסה להגן, רק להעיר.
היום, למצוא כפל של תמונות ברשת זה מאוד קל, כך שכותב חייב להגן על האתר מפניי תביעת זכויות על התמונה. עד כאן הכל טוב ונחמד.
אבל לקחת כתבה ולשנות את שפתה ומעט את הסדר של הנושאים ועוד שיפוץ קטן אולי לתוכן ממשהו שהכותבת קראה בפורום (ניחוש, כי מסתבר שזו הרמה פה), כמו שאמרתי- זלזול.
יש משהו שנקרא כנות, ולכן אני מצפה לראות במפורש ובראש הכתבה, שמדובר בשכתוב או תרגום.
מסכים לגמרי
מצאתי פירצה יותר חמורה
ניתן לספור את הכוכביות שאתה מקליד סיסמא וככה לדעת את אורך הסיסמא
תנצלו מהר את הפירצה כי בטח הם יחסמו אותה בקרוב
https://www.facebook.com/groups/CyberSecJokes/
בוא נהיה קצת יעילים:
רוב הסיסמאות שבנאדם משתמש, הוא משתמש לא רק על המחשב שלו.
מי שמחפש דרך קלה אז יש, כאמור: שמור בדפדפן.
מי שזוכר אותן בע"פ גם ככה, בוא נגיד שעדיף ששום מידע כזה לא יישמר על המחשב מהתחלה אז גם אין צורך לסבך את המשתמש עם פיתרון לסיסמאות אחרות.
אגב,
אכן נשמע כמו המלצה לתוכנות – יש מגוון עצום כזה ברשת. הפיתרון האידיאלי הוא לשמור בראש או במקום שאין ממש גישה אליו לאנשים אחרים.
כמו קובץ טקסט במקום לא ברור מאליו.
אם תשתמש בMASTER PASSWORD בפיירפוקס, זה יצפין את הסיסמאות ולא תוכל לגלות אותן ללא הסיסמה הראשית.
הגזמתם עם רמת הפניקה שמוצגת בכתבה.
כל הנושא של הסיסמאות ברמה האישית הוא מוגזם והפך למיטרד גדול.
אין לי מה להסתיר ומה המוטיבציה של מישהו להשתלט לי על המחשב ב 5 דקות שאולי עזבתי אותו כדי למצוא את הסיסמאות ולשלוח איזשהו הגיג שלילי בשמי.
אני לא רואה כזה סיכון באופק.
אפשר גם ללכת עם מגן החלקה על בננות שמא במקרה ונדרוך על בננה וכו' וכו'.
רק המחשבה מלחיצה יותר.
מי שיש לו מה לפחד שיגן על הסיסמאות אחרת. אני נהנה שלא צריך לטרוח על זכירת סיסמאות. יש לי דף מלא סיסמאות למרות שברוב המקומות אני משתדל להשתמש באותה סיסמא.
הגזמתם עם רמת הפניקה שמוצגת בכתבה.
כל הנושא של הסיסמאות ברמה האישית הוא מוגזם והפך למטרד גדול.
אין לי מה להסתיר ומה המוטיבציה של מישהו להשתלט לי על המחשב ב 5 דקות שאולי עזבתי אותו כדי למצוא את הסיסמאות ולשלוח איזשהו הגיג שלילי בשמי.
אני לא רואה כזה סיכון באופק.
אפשר גם ללכת עם מגן החלקה על בננות שמא במקרה ונדרוך על בננה וכו' וכו'.
רק המחשבה מלחיצה יותר.
מי שיש לו מה לפחד שיגן על הסיסמאות אחרת. אני נהנה שלא צריך לטרוח על זכירת סיסמאות. יש לי דף מלא סיסמאות למרות שברוב המקומות אני משתדל להשתמש באותה סיסמא.
אמממ.. כשהמחשב מבקש ממני לשמור את הסיסמה אני אומרת לו שלא יעשה כן. יש לי מחברת שבה אני רושמת את הסיסמאות. אני המשתמשת היחידה במחשב שלי. הן בגוגל והן בפייסבוק יש לי אימות דו שלבי.
ודבר נוסף — באמת שהמחשב שלי ישעמם אנשים מהשורה. הרבה פוסטים מהבלוגים שלי ומהבלוג שלכם.
זה כ"כ ישן שאפשר לפרוץ את הסיסמאות.
חיפוש של 5 דקות בגוגל יחשוף גם דרכים קלות באותה מידה לחשוף את הסיסמאות של אופרה וספארי.
כדי לחשוף סיסמאות של IE צריך להוריד תוכנה. טיפה מאמץ.
אבל תכל'ס- למי אכפת?!
אני שומרת את כל הסיסמאות שלי בכרום, והכל מסונכרן דרך גוגל עם כל המחשבים שלי. זה נוח לי. לא רואה שום סיבה שמישהו שנתתי לו להשתמש במחשב שלי יפגע איכשו בחשבונות שלו.