گوگل کروم

بحث مدیر امنیت کروم در مورد ذخیره کلمات عبور

این را باور داشته باشید که امنیت جزو لاینفک دنیای مجازی است و بدون آن حتی بهتر است قید اینترنت با همه مزایایش را بزنید. در این صورت است که اطلاعات شما به خطر نمی افتند. برای اینکه بتوانید امنیت خود را به بالاترین حد ممکن برسانید روش های مختلفی وجود دارند. از روش های مرسوم مثل کلمات عبور گرفته تا روش های نسبتا امن‌ تری که فعلا در دسترس عموم قرار دارد؛ مثل استفاده از تایید دو مرحله ای. روش های متنوع دیگری مثل تطبیق هویت بر اساس شاخص های بیومتریک مانند اثر انگشت و اسکن عنبیه چشم نیز وجود دارند که هنوز فراگیر نیستند و فقط در سازمان های امنیتی به کار می روند.

اما متداول ترین روش احراز هویت، استفاده از کلمات عبور است. اما مطمئن باشید که ذخیره کردن کلمات عبور یکی در مرورگرها یکی از بدترین روش های موجود است و به هیچ وجه توصیه نمی شود. در این مطلب قصد داریم تا بحث جالبی که بین محققان شرکتی امنیتی ESET و مدیر تیم امنیتی مرورگر کروم ایجاد شده است را برای شما بیان کنیم و در ادامه نیز راه حل هایی برای امنیت بیشتر کلمات عبور را با شما در میان بگذاریم. پس با گویا آی تی همراه باشید….

یکی از انتقاداتی که همواره متوجه گوگل و مرورگرش که این روزهای یکه تاز فضای وب است می شود، روند ذخیره سازی کلمات عبور در داخل مرورگر کروم است. اگر به بخش تنظیمات کروم و قسمت Passwords بروید، می توانید به راحتی هر چه تمام تر کلمات عبور ذخیره شده را با چند کلیک ساده مشاهده کنید (می توانید با وارد کردن chrome://settings/passwords#pass در آدرس بار مرورگر کروم، بخش مربوط به کلمات عبور ذخیره شده را باز کنید).
اما واقعا چرا اینگونه است؟ چرا کروم به راحتی به هر کسی اجازه دسترسی به کلمات عبور کاربر فعلی سیستم را می دهد. یکی برنامه نویس به نام “الیوت کیمبر” به وضوح این اقدام گوگل را “دیوانه وار” خوانده است و می گوید: گوگل در این زمینه شفاف نیست. خیلی از کاربران نمی دانند کروم واقعا چنین کاری انجام می دهد. آنها نمی خواهند به این راحتی کلمات عبور خود را در مقابل چشمان دیگر افراد قرار دهند. هر روز میلیون ها کاربر از کروم استفاده می کنند و برای صرفه جویی در زمان، کلمات عبور خود را در این مرورگر ذخیره می کنند. این درست نیست.

مدیر ارشد تحقیقات شرکت امنیتی ESET، آقای “دیوید هارلی” نیز می گوید: این واقعا ایده‌ی بدی برای ذخیره کلمات عبور در مرورگر کروم روی دستگاه هایی است که هر کسی بدون تایید هویت می تواند به آن دسترسی داشته باشد. حساب های کاربری اشتراکی نیز یکی دیگر از همین موارد است. در سازمان های بزرگ هر کسی برای استفاده از کامپیوترش باید وارد حساب کاربری موجود شود و شاید این مشکل زیاد نمود پیدا نکند. اما مثلا کامپیوتر کاربران خانگی که افراد خانواده از آن استفاده می کنند و معمولا همگی نیز از یک حساب کاربری استفاده می کنند، این مسئله بسیار جدی و بحرانی می شود. من پیشنهاد می دهم که کاربران از برنامه های مدیریت کلمات عبور استفاده کنند و به هیچ وجه کلمات عبور خود را روی مرورگرشان ذخیره نکنند.

اما از اینجا آقای “جاستین اسکا” مدیر امنیت کروم وارد بحث می شود و سعی می کند که از اقدامات تیم سازنده کروم دفاع کند. این پاسخ آقای اسکا به الیوت کیمبر در وبسایت Ycombinator است: تنها سطح امنیتی قدرتمند به منظور ذخیره سازی کلمات عبور، استفاده از امنیت حساب کاربری سیستم عامل است. بنابراین کروم از هر روش رمزنگاری که سیستم عامل در اختیارش قرار دهد استفاده می کند و این باعث ایجاد محیطی امن برای ذخیره کلمات عبور می شود و حساب های کاربری که با استفاده از کلمه عبور محافظت می شوند، امنیت کلمات عبور ذخیره شده در کروم را تضمین خواهند کرد. علاوه بر این ما متوجه شده ایم که سطوح امنیتی که در حساب های کاربری ایجاد می شود نه تنها قابل اعتماد نیستند، بلکه بیشتر نمایشی می باشند.

ممکن است که گفته های آقای اسکا کمی برای شما نامفهوم باشند. پس کمی به توضیح آنها می پردازیم. در واقع آقای شو می گوید که کلمات عبور ذخیره شده در مرورگر کروم شما در حالتی امن هستند که حساب کاربری خود را با استفاده از کلمات عبور محافظت کنید و به هیچ فرد دیگری اجازه استفاده از حساب کاربری تان را ندهید. از لحاظ کلی این حرف مدیر امنیت کروم درست است و قاعدتا هر کسی – حتی افراد یک خانواده – باید از حساب های کاربری مجزا استفاده کنند. اما این مسئله در بین اکثر کاربران مرسوم نیست و همه افراد از یک حساب کاربری استفاده می کنند.

بخش دوم صحبت های آقای اسکا در مورد سطوح امنیتی است که توسط مرورگرهای دیگر و با نام Master Password به کار گرفته می شوند. مثلا مرورگر فایرفاکس که از Master Password استفاده می کند. مدیر امنیت کروم می گوید این سطوح غیر قابل اعتماد هستند. اما حتی اگر این سطوح غیر قابل اعتماد باشند، حداقل کلمات عبور را در مقابل چشمان دیگران قرار نمی دهند. این بخش از صبحت های آقای شو زیاد قانع کننده نبوده است.

اما صحبت های وی هنوز تمام نشده اند. او ادامه می دهد: در نظر بگیرید که افراد خرابکار به حساب کاربری شما در سیستم عامل دسترسی پیدا کرده اند. اکنون آنها می توانند تمام کوکی های و تاریخچه مرورگرتان را بدزدند و یا با نصب یک افزونه‌ی مخرب، تمامی فعالیت های شما در سطح وب را رهگیری کنند. همچنین آنها می توانند برنامه هایی را نصب کنند که سطوح حساب های کاربری سیستم عامل را رسد کنند. به نظر من وقتی که کسی به اکانت شما نفوذ کند و یا به هر صورتی دسترسی داشته باشد، شما بازی را باخته اید. زیرا آنجا همه چیز وجود دارد و شما این دسترسی را به آنها داده اید. استفاده از Master Password نیز فقط یک حس امنیت کاذب به کاربران می دهد که در واقع تاثیری هم ندارد.

ما بارها و بارها بر سر این موضوع بحث کرده ایم که چرا کروم از یک Master Password پشتیبانی نکند و هر بار هم به این نتیجه رسیده ایم که Master Password فقط و فقط حس امنیت کاذب به کاربران می دهد و ما به هیچ وجه نمی خواهیم این رفتار پرخطر را بین کاربران مان رواج دهیم.

آقای “کوین پولسن” یکی از بزرگترین هکرهای دنیاست و در نشریه Wired مشغول به فعالیت است از دو جنبه به این قضیه نگاه می کند. او می گوید که گوگل مانند یکی معمار امنیتی فکر می کند و از این نظر کاملا درست فکر می کند. گوگل با در معرض دید قرار دادن کلمات عبور سعی می کند تا این تفکر کاذب که کلمات عبور شما با استفاده از Master Password امن هستند را از بین ببرد.

اما در عین حال کاربران باید مدام نگران این باشند که هکرهای غیر حرفه ای می توانند به راحتی کلمات عبورشان را مشاهده کنند. بنابراین گوگل هم باید مانعی را در برابر مشاهده راحت کلمات عبور در مرورگرش ایجاد کند.

آقای “آرماندو اوروزکو” از تیم تحقیقاتی Malwarebytes بر این باور است که کروم تنها مرورگری نیست که به راحتی امکان مشاهده‌ی کلمات عبور را به کاربرانی با دسترسی فیزیکی به کامیپوتر می دهد. کافیست به بخش Password Manager فایرفاکس بروید.

همانطور که گفتیم، فایرفاکس امکان استفاده از Master Password را دارد ولی نه به صورت پیشفرض. پس استفاده یک کاربر مبتدی از فایرفاکس نیز که چیزی از امنیت کلمات عبور نمی داند، می تواند دردسرساز باشد.

در هر صورت بهتر است که کاربران کلمات عبور ذخیره شده در مرورگرشان را پاک کرده و از سرویس ها و برنامه های مختص این کار مثل LastPass یا KeePass استفاده نمایند.

نظر شما چیست؟ به نظر شما جواب های گوگل قانع کننده است؟ شما چه روشی را ترجیح می دهید؟

0 پاسخ

دیدگاه خود را ثبت کنید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما می‌توانید از این دستورات HTML استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>