Tutkija: Chrome, Safari-salasanojen hoitajat tarvitsevat työtä

Googlen Chrome- ja Applen Safari-selaimet voisivat paremmin suojata salasanoja tietoturva-tutkijan mukaan, joka julkaisi selaimen salasanojen hallinnoinnista perjantaina.

"Safari ja Chrome ovat olennaisesti sidoksissa huonoimpaan salasanakehitykseen, joka on rakennettu suuri selain ", kertoi Chapin Information Servicesin toimitusjohtaja Robert Chapin raportissaan, jossa tarkasteltiin turvatarkastusselainten tyyppejä, joilla varmistettiin, että he lähettävät käyttäjänimeä ja salasanatietoja laillisille verkkosivustoille älykkäävien hakkereiden sijaan.

Kaksi vuotta sitten Chapin ilmoitti laajalti julkistetusta salasanasuojausvirheestä Firefox-selaimessa, jonka Mozilla-kehittäjät arvostelivat kriittisesti. Hyökkäyskäyttäjät käyttivät MySpace.com:n verkkosivustolta hyökkääjiä, jotka olivat luoneet väärän kirjautumissivun varastaakseen tilitiedot sosiaalisen verkostoitumisen käyttäjiltä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Firefox on tehnyt paljon parantaakseen salasanojen hallintaa, mutta kaikki nämä tuotteet ovat vielä kaukana täydellisestä, Chapin sanoi haastattelussa. "Pitäisikö kaikki laittaa 100 prosentin epäsuora luottamus jokaiseen salasanojen hallintaan?" hän kysyi. "Ei lainkaan."

Yksi ongelma on se, että nykypäivän salasanojen hallinnoijia voidaan petkuttaa lähettämällä erilaisia ​​salasanan käyttöoikeuksia saman sivuston eri osiin. Näin hakkerit tekivät MySpace-hyökkäyksestä ja julkaisivat väärän salasanan lomakkeen MySpace-sivulla. Koska molemmat väärennetyt ja todelliset kirjautumislomakkeet olivat myspace.com-verkkotunnuksessa, selaimet, kuten Firefox, saattavat joutua petkuttamaan automaattisesti kirjautumistietojen lähettämiseen petoksille. Tämä virhe on nyt korjattu Firefoxissa, mutta Chrome ja Safari ovat edelleen alttiita samanlaisille hyökkäyksille.

Toinen ongelma on se, että selaimet lähettävät esimerkiksi yhdelle verkkotunnukselle tarkoitetun salasanan, esimerkiksi Google.comin, toiselle verkkotunnukselle - sanoa Myspace. com - varoittamatta käyttäjää, hän sanoi. Tämä johtuu siitä, että selaimen tekijät olettavat salasanan pyytävän sivun olevan luotettava, vaikka hän lähetti salasanan toiselle verkkotunnukselle, hän sanoi.

Chapin kertoo käyttävän Opera-salasanan ylläpitäjää, koska se tekee paremman työn päästäkseen hänelle tallentaa salasanoja tietyille verkkosivuille. Hän on kirjoittanut online-testin, jossa käyttäjät voivat testata omien salasanojensa hoitajien turvallisuutta.

Security-tietoturvan konsultointijohtaja Robert Hansen sanoi, että tietoturvayhteisö on tuntenut jo useita vuosia, että salasanojen hallinnoijat ovat vaarallisia. Tämä johtuu pääasiassa siitä, että selaimet itse ovat alttiita niin monille erilaisille hyökkäyksille. "He eivät ole erinomainen idea turvallisuusnäkökulmasta, kun ne on integroitu selaimeen", hän sanoi pikaviestinä. "Selain ei ole suunniteltu lopettamaan suuria hyökkäyksiä, jotka mahdollistavat salasanojen hallinnan varkauden. Salasanojen hallinnan hakkeroinnit eivät toimisi."