Kritikák kereszttűzébe került a Chrome jelszókezelése

Biztonsági szakértők szerint a Google-nek lépéseket kellene tennie annak érdekében, hogy a Chrome böngésző által eltárolt jelszavak nagyobb biztonságban legyenek.
 

Az elmúlt napokban a Google Chrome böngésző jelszókezelése kapcsán számos kritika fogalmazódott meg. Először Elliott Kember fejlesztő figyelme terelődött a Google alkalmazásának egyik biztonsági gyengeségére, amikor úgy határozott, hogy a Safari böngészőjét lecseréli Chrome-ra. Ehhez a Safariból beimportálta az addig elmentett adatait. Ekkor azt vette észre, hogy a Chrome minden áron be szeretné másolni a jelszavait a saját jelszótárolójába. Ennek Kember nem örült, de még jobban meglepődött akkor, amikor meglátta, hogy az átmásolt jelszavakat a Google böngészője egy gombnyomással megjeleníti.

"Nincs mester jelszó, nincs biztonság, és a felhasználót sem figyelmezteti semmi, hogy a jelszava látható. Bárki, aki rendelkezik hozzáféréssel a számítógéphez (pontosabban az adott felhasználói fiókhoz), legyen az munkatárs, gyermek vagy házastárs, egyszerűen elcsenheti a jelszavakat" - adott hangot aggodalmának Kember.

A Chrome jelszókezelése mindig is így működött, és nem lehet tudni, hogy eddig miért nem keltettek komolyabb visszhangot az említett problémák. Jason Shuh böngészőbiztonsági szakember sem igazán értette a most felröppent kritikákat. „Nem akarjuk, hogy a felhasználókban hamis biztonságérzet alakuljon ki, és nem szeretnénk kockázatos viselkedésre ösztökélni őket. Fontos, hogy tisztában legyenek azzal, hogy ha másoknak is hozzáférést biztosítanak az operációs rendszerben létrehozott felhasználói fiókjukhoz, akkor bármit megtehetnek a nevükben” - nyilatkozta a szakember.

Shuh szavaival nem értett egyet Andrew Storms, a CloudPassage elnöke, aki szerint attól még, hogy az operációs rendszer szintjén szabályozható a hozzáférések kezelése, még nagyon is szükség lenne egy másik védelmi rétegre. Ez alapvetően kétféle módon valósítható meg. Mivel a Chrome az operációs rendszer felhasználói fiókjaihoz tartozó adatokat, jelszavakat használja a titkosításhoz, ezért az lenne a legalapvetőbb, ha ezt a jelszót az elmentett hitelesítő adatok megjelenítése előtt bekérné a felhasználótól. Ennél azonban erősebb biztonságot jelentene, ha be lehetne állítani egy mester jelszót, amivel a kódolás megtörténne. Ez nem ördögtől való gondolat, hiszen a Firefox is támogatja ezt a funkciót, igaz alapértelmezés szerint kikapcsolt állapotban van. Természetesen egy mester jelszó sem képes maradéktalanul csökkenteni a kockázatokat, de legalább a megosztott számítógépeken nem lehetne olyan egyszerűen hozzáférni a bizalmas adatokhoz.

A Google egyelőre nem reagált a kritikákra, így nem lehet tudni, hogy a jövőben milyen módon kívánja elősegíteni a jelszavak megóvását.