Viser passord i klartekst
Google Chrome lar deg lese alle passord du har lagret i nettleseren. Google forsvarer implementasjonen.
Utvikleren Elliott Kember skulle importere bokmerkene sine fra Apples Safari til Google Chrome da han slumpet over en alvorlig sikkerhetsfeil i Chrome, ifølge The Telegraph.
Han la nemlig merke til at det var obligatorisk å importere lagrede passord, noe han stusset over.
Dette er passordet ditt
Etter nærmere undersøkelser fant han ut at Chrome gjør svært lite for å beskytte passord når man er pålogget med Google-brukernavnet. Hvem som helst med fysisk tilgang til datamaskinen kan faktisk lese passordene i klartekst.
Dette er lett å bekrefte: Kopier denne URL-en inn i Chrome: chrome://settings/passwords. Du får da opp en liste over alle passord som er lagret i nettleseren. Passordene vises som prikker. Men klikk på knappen med teksten "Show" ved siden av passord, og vips - så kan du lese det i klartekst.
En slik funksjon kan i enkelte tilfeller være kjekk å ha. Det som gjør saken litt mer alvorlig er at Chrome ikke tilbyr beskyttelse i form av ekstra sikkerhet mot at andre enn deg skal kunne lese disse passordene.
Slike passorddatabaser beskyttes nemlig gjerne av et «master-passord», men noen slik funksjon finnes ikke i Chrome.
Kember kommenterer i en bloggpost om oppdagelsen at ettersom Google promoterer Chrome mot vanlige brukere, og ikke bare it-folket, utgjør dette en svært stor sikkerhetsrisiko.
- De [vanlige brukerne] forventer ikke at det skal være så enkelt å se passordene deres. Millioner av vanlige brukere lagrer passordene sine i Chrome hver dag. Dette er ikke ok, skriver Kember.
- Kommer ikke til å endre noe
Det tok ikke lang tid før nyheten ble diskutert i tradisjonelle og sosiale medier. Google var raskt ute med en kommentar, og utviklersjefen for Chrome, Justin Schuh, har lagt ut et åpent svar til Kember der han forsvarer passordimplementeringen i den stadig mer populære nettleseren.
- Du tror passordene dine er beskyttet på en eller annen måte i andre applikasjoner, men det er de rett og slett ikke, skriver Schuh, og legger til at dersom skurken kan se passordene i det hele tatt, så har han uansett allerede full tilgang til brukerkontoen din.
Kommentaren utdypes i en etter hvert lang diskusjonstråd, og Schuh argumenterer at implementering av ytterligere sikkerhetsløsninger, som for eksempel bruk av et master passord bare vil gi brukeren en falsk følelse av trygghet.
- Jeg forstår hvordan dette virker for en nybegynner, men vi har bokstavelig talt brukt flere år på å evaluere det, og har temmelig mye data som støtter implementasjonen, skriver Schuh.
Det ser med andre ord ikke ut som Google har planer om å endre måten Chrome behandler passord på. I hvert fall ikke med det første.
Beskytt deg selv
Det er riktig som Schuh påpeker, at en skurk som har muligheten til å lese passord du har lagret i Chrome, allerede har full tilgang til å gjøre stort sett hva han vil på datamaskinen din.
Men det er ikke dermed sagt at alt håp er ute. Det er ett par ting du kan gjøre får å holde skurker, overnysgjerrige kolleger eller snokende foreldre på avstand.
For det første kan det være en god ide å låse skjermen på datamaskinen når du ikke bruker den. Det er selvsagt avhengig at du ikke har deaktivert vanlig pålogging, og bruker et normalt godt passord.
Gode passord trenger ikke være vanskelig å huske:
For å låse en Windows-pc trenger du bare holde inne Windows-tasten og trykke på "L".
Et annet grep kan være å velge bort muligheten til å lagre brukernavn og passord i nettleseren i det hele tatt, og i stedet benytte et spesialisert program til å holde styr på slik informasjon.
Noen eksempler på programmer som gjør nytten, og i tillegg kan brukes på de fleste plattformene, inkludert pc-, Mac, brett og mobil er Keepass og Lastpass. Begge er gratis, krypterer alt du legger inn, og for å få tilgang til passord du legger inn må du oppgi et master-passord.
Master-passordet må du riktignok huske selv, for glemmer du det, da er dataene tapt ettersom informasjonen er kryptert.
Det er også liten tvil om at det jo er svært praktisk å slippe å huske eller skrive inn passord hver gang. Da kan det være greit å vite at flere nettlesere, blant andre Firefox og norske Opera, lar deg definere et master-passord.
