Специалист по безопасности Эрик Гайер из компании NoWiresSecurity опубликовал сравнительный обзор трех самых популярных браузеров с точки зрения безопасности хранения паролей, сообщает ХАКЕР.ру.
Наиболее защищенным из популярных браузеров эксперт назвал Firefox. Правда, если не менять настройки по умолчанию, он ничем не лучше других, но продвинутые пользователи могут активировать функцию мастер-пароля, после чего все хранилище паролей надежно шифруется мастер-ключом. Этот ключ требуется вводить каждый раз при срабатывании автозаполнения форм, так что здесь утечка информации отсутствует.
Функция мастер-пароля с шифрованием базы не реализована ни в одном другом браузере из рассматриваемых в обзоре.
Кроме того, Firefox шифрует все передаваемые данные, а не только пароли, как, например, Chrome, а добавить новое устройство для синхронизации не так просто. Для этого требуется реально доказать, что оба устройства принадлежат одному человеку - или введением на одном устройстве кода, которое приходит на другое устройство, или через ключ восстановления (recovery key), снятый с одного устройства и перенесенный на другое устройство.
Самая слабая защита реализована в браузере Google Chrome. Кто угодно, получив доступ к компьютеру, может зайти в настройки и посмотреть любой пароль из списка, где сайты расположены по алфавиту. Пароли выглядят как звездочки, но можно нажать на любую запись, выбрать "Показать пароль" - и его покажут открытым текстом.
Хуже того, в настройках автозаполнения полей (Autofill) можно увидеть адреса и информацию о кредитных картах пользователя, а функция синхронизации Chrome позволяет синхронизировать между собой несколько браузеров на разных устройствах, введя пароль от аккаунта Google.
Таким образом, если злоумышленник узнает пароль пользователя на сервисах Google, он может мгновенно получить список всех пользовательских паролей на всех сайтах, просто осуществив синхронизацию браузеров. Чтобы избежать этого, нужно установить дополнительную парольную фразу на синхронизацию.
В браузере Internet Explorer 9 списка паролей не видно, и даже при автозаполнении формы во время входа на сайты нельзя посмотреть пароль, закрытый звездочками. Чтобы снять базу паролей IE или посмотреть символы за звездочками, требуется использование отдельной программы. В IE9 также отсутствует синхронизация между устройствами.
Впрочем, признает Гайер, в браузере IE 10 и Windows 8 разработчики наконец-то исправили оба эти недостатка.