Oto dlaczego przechowywanie haseł w przeglądarce to zły pomysł
Często ostrzegamy, że menedżery haseł oparte na przeglądarce nie mają zabezpieczeń i funkcji dedykowanego oprogramowania do obsługi haseł. Ale i tak są lepsze niż nic, prawda? Nowy raport AhnLab ASEC dowodzi czegoś przeciwnego — przechowywanie haseł w przeglądarce sprawia, że jesteś niezwykle podatny na ataki hakerów, nawet jeśli używasz unikalnych haseł dla każdego konta.
Badając niedawne naruszenie danych, naukowcy z AhnLab ASEC odkryli, że hakerzy wykradli dane logowania do firmy z przeglądarki pracownika zdalnego. Hakerzy wykorzystali popularne złośliwe oprogramowanie o nazwie RedLine, które kosztuje od 150 do 200 USD, aby pobrać te dane logowania. Oprogramowanie antywirusowe nie wykryło złośliwego oprogramowania, które prawdopodobnie było rozpowszechniane za pośrednictwem wiadomości phishingowej.
Tabela logowania przeglądarki, w której przechowywane są poświadczenia i próby logowania. SEKUNDA
Przeglądarki, takie jak Chrome i Edge, mają domyślnie włączone narzędzia do zarządzania hasłami i śledzą wszystkie próby logowania z istotnymi informacjami, takimi jak data i godzina, adres URL witryny oraz użyta nazwa użytkownika lub hasło. RedLine może uzyskać dostęp do tych danych i je zinterpretować, które hakerzy mogą wykorzystać lub sprzedać złym aktorom.
Aby uniknąć tej luki, musisz całkowicie wyłączyć wbudowane w przeglądarkę narzędzia do zarządzania hasłami. Mówienie przeglądarce, aby nie pamiętała danych logowania do określonej witryny, nie wystarczy — Twoja przeglądarka nadal będzie rejestrować adres URL witryny, który hakerzy mogą wykorzystać do próby przedostania się na Twoje konto metodą brute-force bez danych logowania. (Te dane są cenniejsze, jeśli logujesz się na konto służbowe, co może wymagać logowania przez VPN lub zaporę sieciową).
Zdecydowanie zalecamy wyłączenie wbudowanego menedżera haseł w przeglądarce i użycie dedykowanego oprogramowania. Istnieje mnóstwo świetnych darmowych i płatnych opcji, a hasła do Chrome, Edge lub Firefox możesz łatwo wyeksportować do dedykowanego menedżera haseł.
Źródło: AhnLab ASEC za pośrednictwem Bleeping Computer