О паролях: какие браузеры делают не так (кроме Safari) [Мнение]

Lockwise и резервное копирование пароля в Firefox

Да. Браузеры неправильное управление паролями. Поскольку это авторское мнение и поэтому оно указано даже в заголовке, я скажу очень плохо. Фатально. И это то, что я лично не ценил до запуска Firefox 79, теперь на канале еженощно пользователя Mozilla. Версия, которая будет выпущена в августе, будет иметь новую функцию: возможность экспортировать все наши учетные данные в файл CSV. В случае с Linux на данный момент он даже не запрашивает для него пароль.

Хотя я начал говорить о Firefox, это то, что также бывает в хроме, включая возможность экспорта наших паролей в файл CSV, который уже давно доступен в предложении Google, которые являются двумя наиболее часто используемыми браузерами в мире, а также во многих других, которые управляют паролями. В чем проблема с моей точки зрения? Фактически, два: простота выполнения действий и отсутствие предупреждения о том, что, если мы не добавим мастер-пароль, все наши пароли будут отслежены в считанные секунды. Есть решение? Да, и, с моей точки зрения, есть одна очень простая вещь, которую мы узнали от Apple.

Apple научила нас, как браузеры должны управлять паролями

Сравнения ненавистны, особенно в таком блоге, где ожидается, что будет обсуждаться только Linux, но иногда необходимо рассказать немного больше. Объяснив это, давайте немного поговорим о яблочной компании. Apple никогда не изобретала колеса, вот так вот. Единственное, что делает компания, которой руководит Тим ​​Кук, - это берет идеи, которые были у других, иногда улучшают их, а затем продают, как никто другой. Они улучшили управление паролями, и теперь я объясню почему.

Хотя на компьютерах, которые я использовал чаще всего, всегда была Linux, у меня также есть старый iMac и ноутбук с Windows. У меня был iMac без пароля в течение многих лет, пока Apple не выпустила iCloud Keychain и не сказала мне, что если я хочу использовать эту функцию, я должен ввести пароль для устройства. Я его надел. Теперь, если я хочу увидеть некоторые из моих паролей в Safari, я должен ввести пароль моего пользователя (операционной системы). Если не надену, НИЧЕГО не увижу. Ни я, ни кто-либо другой не можем получить доступ к моим учетным данным. Без сомнения, это правильно. В браузере нет мастер-пароля и операционная система отвечала за то, чтобы сообщить мне что если я хочу, чтобы мои пароли были на нем, я должен был установить пароль для входа в систему.

Как Firefox и Chrome неправильно обрабатывают пароли

Хотя я никогда не рассматривал это, и, как я объяснил выше, я сделал это с запуском Firefox 79 и его новой функции, ни Firefox, ни Chrome ни о чем у меня не спрашивают, когда я хочу видеть свои пароли. Браузеры ошибочно полагают, что пользователь, получивший доступ к браузеру, является владельцем компьютера или кем-то зарегистрированным на нем. Следовательно, в Firefox мы можем перейти к о: логины, доступ Lockwise и увидеть всех наших пользователей, пароли которых скрыты. Но что хорошего в том, что они скрыты, если мы можем скопировать их в буфер обмена? Немного. И в Chrome дело обстоит по-другому: мы переходим в Preferences / Autocomplete, и там они. Если мы коснемся значка глаза, они будут отображены. Что может пойти не так?

Это заставляет нас думать о любом случае, когда мы оставляем наш компьютер другу или родственнику. Я не знаю, поэтому вы можете посмотреть видео с котятами на YouTube, когда мы принимаем душ, например, на ужине, который мы устроили в этот день. Мы не знали, что этот друг не лучший друг или по какой-то причине хочет получить наш пароль на Facebook. Все, что вам нужно сделать, это перейти в раздел паролей, увидеть наше имя пользователя, скопируйте пароль и вставьте его в текстовый документ. У этого друга уже есть доступ к нашему Facebook. Это просто.

В Firefox 79 этого не будет для Windows, которая запросит у нас пароль (пользователя сеанса), чтобы экспортировать пароли в файл CSV или скопировать их из Lockwise, но в текущем Firefox 77 он позволяет нам копировать их, ничего не вводя. Firefox 79 для Linux по-прежнему позволяет любому просматривать наш файл паролей, как Педро, дома, даже если это не совсем знаменитый Педро.

Возможные решения, которые им следует реализовать сейчас

В запросе, который я сделал в Firefox через Twitter о версии для Linux, мне сказали, что я должен установите мастер-пароль, чтобы избежать этой проблемы. Как насчет этого? Это я уже знаю, а другие нет. Решение - не гадать, что может случиться; решение должно быть предложено нам компаниями. По возможности я не разрешал доступ к Lockwise без ввода пароля пользователя (системы) и забывал мастер-пароль. Если вышеперечисленное невозможно, а в Windows это возможно, браузеры должны уведомить нас об этом, как это делает Apple, с помощью сообщения типа «либо вы вводите мастер-пароль, либо не сможете использовать связки ключей». То, что, на мой взгляд, не является вариантом, существует сегодня: если мы не принимаем его во внимание, а другой делает это, мы разоблачены.

Итак, теперь вы знаете. Ситуация может улучшиться, и, по крайней мере, версия Windows для Firefox улучшится, но в наши дни все браузеры, по крайней мере в Linux, неправильно управляют паролями. Поскольку они не предупреждают о том, что может произойти, если мы не настроим мастер-пароль, я делаю это в этой статье, мы не должны забывать, что это мнение.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

16 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Большеротый сказал

    Совершенно верно, я использую Firefox и не знал, что могу добавить мастер-пароль к своим учетным данным. Если бы не эта статья, я бы не узнал. Разработчики не сообщают, когда мы начинаем использовать Lockwise. Это неприятность.
    Я уже начал использовать Bitwarden, потому что думал, что мои пароли небезопасны. Вы доверяете Bitwarden или думаете, что мне следует найти другого менеджера?

  2.   user12 сказал

    Что ж, если я правильно понял автора, браузеры виноваты в том, что пользователи не знают своих преимуществ (в данном случае наличие главного пароля - характеристика, которая была в Firefox со времен нижнего палеолита).

    Из того, что говорит обозреватель, решением этой «неудачи» браузеров было бы то, что пароль для доступа к сохраненным учетным записям был не чем-то необязательным для пользователя, а чем-то обязательным и предопределенным браузером. Не говоря уже о том, что я предпочитаю свободу выбора каждого пользователя настраивать браузер по своему вкусу, исходя из своих предпочтений и обстоятельств. В главном пароле Firefox есть небольшая ошибка: если вы регистрируетесь в соответствии с тем, на каких веб-сайтах вы будете получать при каждом посещении предупреждение о необходимости ввести мастер-пароль (даже если вы не хотите входить в систему в это время).

    1.    Паблинукс сказал

      Нет. Вы не очень хорошо поняли. Я говорю о вариантах. Решение, которое я бы дал, было бы как в Safari. Это самый безопасный. В противном случае, как в Windows, где вам не нужен мастер-пароль, и вы не можете ни экспортировать файл, ни копировать пароли (Firefox).

      По крайней мере, в Linux они должны вас об этом предупредить. Это было бы poka-yoke (поищите в вики), и я действительно считаю, что вина лежит на разработчике. В Windows Firefox не оставит нас без внимания. По их словам, в Linux вам нужно будет ввести мастер-пароль. И если да, они должны посоветовать. Apple делает это. Я не говорю о принуждении, но что плохого в отчетности?

      В любом случае, эта статья также предназначена для того, чтобы люди знали об опасности наличия паролей в браузере.

  3.   Дани сказал

    1. Я понятия не имел, что все мои пароли так легко доступны.
    2. Определение мастер-пароля было чрезвычайно простым и эффективным.

    Глядя на 1 и 2, простого предупреждения о снятии защиты с сохраненных паролей будет достаточно, чтобы избежать большинства проблем.

    Когда потенциальный ущерб настолько велик, а решение настолько простое, отсутствие предупреждения о риске превращается в халатность.

    1.    Уномас сказал

      Я понимаю, что с тех пор, как писатель купил тот iMac, пока он не захотел использовать Связку ключей iCloud, не было проблемой, что никто не спросил у него учетные данные для использования или доступа к сохраненным паролям.

      У него всегда была возможность поставить пароль своему пользователю в машине.
      Я предполагаю, что Apple сообщила вам, что если вы этого не сделаете, ваши пароли будут незащищены.
      Должно быть, поэтому нет аналогии с мастер-паролем Firefox, который, как они уже говорили здесь, существует почти с незапамятных времен.

      1.    Паблинукс сказал

        Привет. Это была серия событий. Часто вы не думаете о таких вещах. Я подумал об этом, потому что Firefox 79 поставляется с этой функцией (экспорт в CSV). Увидев, что он не спрашивает у меня пароль, я проанализировал все остальное и вспомнил прошлое. Пароли не должны быть видны, это мое мнение, поэтому я указываю это даже в заголовке.

        Приветствие.

  4.   Marcos сказал

    Что ж, в случае с Opera каждый раз, когда я хочу увидеть свои пароли, браузер просит меня ввести пароль пользователя операционной системы. Я не видел, что произойдет, если у моего имени пользователя нет пароля.

    1.    Паблинукс сказал

      Привет, Маркос. Так и должно быть. Я не использую Opera, но разве это то, что вы говорите в Linux?

      Приветствие.

      Я редактирую сообщение: в Ubuntu 20.04 я установил Opera, я сохранил пароль, и это позволяет мне просматривать их без ввода пароля. Как вы думаете, в какой системе это происходит?

  5.   Габриель сказал

    Мое скромное мнение в защиту больших браузеров состоит в том, что он не хранит учетные данные по умолчанию, это пользователь разрешает их сохранять. Когда вы входите на сайт X, вас спрашивают, хотите ли вы сохранить пароли. Зачем возлагать ответственность пользователя на веб-разработчиков? Если вы сохранили его по своей доброй воле и либо одолжили, либо они владеют компьютером, дорогая, трахните себя за непослушание. Вас предупреждали раньше.

    1.    Паблинукс сказал

      Привет, Габриэль. Как вы понимаете, я не согласен. Если вы прочитаете эту вики-ссылку, вы поймете, почему https://es.wikipedia.org/wiki/Poka-yoke

      Вы когда-нибудь видели промышленную машину за последние, не знаю, 30 лет? У них есть системы безопасности, которые доказывают халатность или человеческий фактор. Фактически, если вы не «взломаете» их (например, замкните датчик), вы не сможете открыть варды, пока они не остановятся. Я спрашиваю здесь нечто похожее: компании развиваются, учитывая возможности и защищая пользователей.

      А о том, что он спрашивает, сохранять это или нет, да, конечно, он спрашивает вас, но он ничего вам не говорит, что после того, как вы его сохраните, любой может увидеть их через 10 секунд. Если бы вы сказали мне поместить длинный текст уведомления, например условия использования, которые мы все принимаем, не глядя, хорошо, они бы предупредили, и мы прошли. Но это не так.

      Приветствие.

      1.    Мигель сказал

        Для тех, кто плохо знаком с Firefox (включая тех, кто в течение многих лет использовал браузер Mozilla, в основном не подозревая о его функциях), если они хотят улучшить функции браузера, но не имеют знаний или времени, чтобы внести свой вклад лично, есть функция под названием «Отправить мнение». Они могут получить к ней доступ через:

        Кнопка меню> Справка> Отправить отзыв

        Откроется вкладка, в которой вас спросят, довольны ли вы Firefox или нет, если вы ответите, она не попросит вас вкратце написать, почему, это помогает Mozilla в качестве обратной связи сосредоточиться на улучшении обслуживания браузера Firefox, это как это было связано с проблемой конфиденциальности, включение элементов, которые раньше можно было получить только через плагины, достойное включение функций HTML5 ... Если бы редакторы этого и других сообществ на разных языках мира были организованная для массового исправления этой проблемы, Mozilla могла бы серьезно отнестись к ней при разработке следующей версии браузера Firefox.

        Раньше я часто использовал эту службу, чтобы увидеть улучшения, встроенные в браузер, без необходимости использовать плагин или прилично запускать HTML5, но самое главное, что ранее при отправке ответа они предлагали вам ссылку, чтобы вы могли следить за вашими предложениями, не так ли ?, чтобы вы могли отслеживать предложения других людей по всему миру и сотрудничать, чтобы увидеть добавленные эти функции или исправить любую ошибку, которая больше не происходит, и я не вижу, где сейчас действовать, однако , в Mozilla служба поддержки по-прежнему рекомендует использовать Firefox Opinion, чтобы сообщать об ошибках, сбоях, сбоях, пробелах и сообщать об улучшениях в браузере.

        1.    Паблинукс сказал

          Привет. У меня уже есть, но мой комментарий - это тот, к которому вы не можете обращаться. Хотя этот блог не имеет такого тиража, как другие, более крупные, отчасти я также надеюсь, что они его прочитают. Я также упомянул об этом в Твиттере. Кроме того, он был здесь по предложению Firefox и Twitter.

          Приветствие.

      2.    Мигель сказал

        Я не согласен с вашим предложением «либо вы установите мастер-пароль, либо вы не сможете использовать связки ключей», так это то, что вы требуете, чтобы компания заставила пользователя «да» или «да» применить мастер-пароль для доступа к использованию. блокировки, то есть это даже подразумевает изменение способа работы Firefox Sync, потому что, если вы не установили мастер-пароль, Firefox Sync не может загружать или обновлять пароли, управление паролями или их сложность не является прямой обязанностью компании, но что касается конечного пользователя, который требует и потребляет продукт, то, что может быть сделано Mozilla, - это подчеркнуть важность того, чтобы после первого запуска Firefox и последующего использования Firefox Sync использовать главный пароль для безопасность дополнительных паролей в условиях, при которых компания из-за невнимательности пользователя больше не может взять на себя управление компанией. Это понятно?.

        1.    Паблинукс сказал

          В Windows это реализовано из Firefox 79 без использования мастер-пароля (он запрашивает пароль пользователя). Таким образом, я сомневаюсь, что они не могут сделать это в Linux, но они не запрашивают пароли или Chrome, Firefox или Opera, они сказали мне, я пробовал, и они видят то же самое.

          Принудительный ввод пароля - самая радикальная мера, и, честно говоря, я бы принял ее для защиты пользователей. Но я не работаю ни в Mozilla, ни в Google, ни в какой-либо другой компании, которая занимается разработкой браузеров. По крайней мере, они должны каким-то образом отчитываться.

          Но в целом мне не кажется хорошим, что любой, у кого есть физический доступ к компьютеру, может восстановить все пароли, сохраненные в его браузере. Я комментирую свое мнение и то, как обстоят дела, чтобы каждый мог решить, что делать, в том числе возможность использования других менеджеров паролей.

  6.   Гастон сказал

    Привет, спасибо за сообщение.
    Я говорю вам больше, по крайней мере, в Linux: они позволяют вам использовать машину, потому что вам нужно подключиться к Интернету и открыть хром, вы входите в свою учетную запись google и непреднамеренно синхронизируете учетную запись ... Uff error all пароли загружаются на эту машину.
    Пока все более-менее нормально. Вы выходите, вы выходите из системы, вы также удаляете учетную запись синхронизации, вы открываете-закрываете Chrome и Zaz, все ваши пароли, закладки и т. Д. Все еще находятся в этом сеансе машины.
    Хорошо, вы переходите в Chrome, Advanced, сбрасываете Chrome до заводских настроек и Zas, они отслеживают всю вашу информацию там.
    Удалите и снова установите Chrome ... Уффф, все ваши пароли и другая информация все еще там.

    Единственный способ получить информацию из этого сеанса Linux - это вручную войти в Домашнюю страницу этого сеанса Linux и удалить каждый из файлов Chrome.
    Ужасный!!!

  7.   atreyu94 сказал

    Очень хорошая статья, но в Firefox проблема еще серьезнее. Если у вас есть мастер-пароль, и ваш друг хочет смотреть видео с котятами, он не сможет это сделать без мастер-пароля, так как он снова и снова запрашивает его для навигации, как это делается регулярно. Очевидным решением было бы то, что, если не вводить мастер-пароль, запускается, например, «гостевой» сеанс, когда вы не можете получить доступ к настройкам или логинам. Другими словами, мастер-пароль по-прежнему может быть полезен только владельцу компьютера, на котором работает Firefox. Эта проблема действительно серьезна не только на персональном компьютере, но и на компьютерах учреждений. Привет…