Close Menu
    Android

    Browser Password Manager vs Εφαρμογή | Ασφάλεια

    Marizas DimitrisBy Δεν υπάρχουν Σχόλια9 Mins Read

    Ο Διαχειριστής Κωδικών του Browser σας Έχει Εξελιχθεί – Αλλά Πρέπει Να Τον Εμπιστευτείτε;

    Κάθε φορά που επισκέπτεστε μια νέα ιστοσελίδα, το πρόγραμμα περιήγησής σας σας ζητά επίμονα να αποθηκεύσετε τους κωδικούς σας. Αυτό δεν είναι τυχαίο. Στον ανελέητο ανταγωνισμό των browsers, η διαχείριση κωδικών έχει μετατραπεί σε βασικό πεδίο μάχης. Ταυτόχρονα, οι μεγάλοι παίκτες όπως η Google και η Apple προσπαθούν να ανταγωνιστούν την αυξανόμενη δημοτικότητα των εξειδικευμένων εφαρμογών διαχείρισης κωδικών.

    Αλλά πόσο ασφαλής είναι πραγματικά ο ενσωματωμένος διαχειριστής κωδικών που χρησιμοποιείτε καθημερινά; Η απάντηση μπορεί να σας εκπλήξει.

    Η Εξέλιξη των Διαχειριστών Κωδικών στα Προγράμματα Περιήγησης

    Πριν από μερικά χρόνια, η αποθήκευση κωδικών στο browser σας ήταν μια επικίνδυνη επιλογή. Τα πράγματα όμως έχουν αλλάξει ριζικά. Το Google Chrome, που κυριαρχεί με συντριπτική πλειοψηφία στην παγκόσμια αγορά browsers, διαθέτει πλέον έναν αξιόπιστο μηχανισμό διαχείρισης κωδικών. Το ίδιο ισχύει και για το Safari της Apple, το οποίο έχει ενσωματώσει εργαλεία ασφαλείας που αντιμετωπίζουν τις πιο συνηθισμένες αντιρρήσεις κατά των browser-based password managers.

    Ας το θέσουμε ξεκάθαρα: αν δεν χρησιμοποιείτε κανέναν διαχειριστή κωδικών και επαναχρησιμοποιείτε τους ίδιους λίγους κωδικούς προσθέτοντας απλώς ένα κεφαλαίο γράμμα ή ένα θαυμαστικό, η αποθήκευση μοναδικών κωδικών στο browser σας είναι πολύ πιο ασφαλής από αυτό που κάνετε τώρα.

    Ωστόσο, υπάρχει ένα θεμελιώδες πρόβλημα με τους διαχειριστές κωδικών των browsers – ένα πρόβλημα που δεν λύνεται με καλύτερες μεθόδους πιστοποίησης ή ανώτερη κρυπτογράφηση.

    Πόσο Ασφαλής Είναι Πραγματικά ο Διαχειριστής Κωδικών του Chrome;

    Η παραδοσιακή αφήγηση ήταν απλή: ο διαχειριστής κωδικών του browser σας δεν είναι τόσο ασφαλής όσο μια εμπορική εφαρμογή τρίτου κατασκευαστή. Υπάρχει μια δόση αλήθειας σε αυτήν την άποψη, αλλά χρειάζεται αποσαφήνιση και πλαίσιο.

    Κρυπτογράφηση: Πού Βρίσκονται τα Πράγματα Σήμερα

    Η βασική διαφορά μεταξύ του Google Password Manager και ενός εμπορικού διαχειριστή κωδικών δεν είναι ποια κρυπτογράφηση χρησιμοποιείται, αλλά πώς χρησιμοποιείται.

    Ένας διαχειριστής κωδικών όπως το Proton Pass χρησιμοποιεί κρυπτογράφηση μηδενικής γνώσης (zero-knowledge encryption). Αυτό σημαίνει ότι, παρόλο που η υπηρεσία φυλάσσει τους κρυπτογραφημένους κωδικούς σας, δεν κατέχει το κλειδί για να τους αποκρυπτογραφήσει. Μόνο εσείς έχετε πρόσβαση σε αυτό το κλειδί.

    Από την άλλη, το Google διαχειρίζεται εξ ορισμού το κλειδί κρυπτογράφησής σας. Ωστόσο, σας επιτρέπει να ενεργοποιήσετε την κρυπτογράφηση στη συσκευή (on-device encryption), που λειτουργεί παρόμοια με μια αρχιτεκτονική μηδενικής γνώσης. Οι κωδικοί σας κρυπτογραφούνται πριν αποθηκευτούν στη συσκευή σας και εσείς διαχειρίζεστε το κλειδί.

    Ανεξάρτητα από το πώς λειτουργεί η κρυπτογράφηση, η Google χρησιμοποιεί AES (Advanced Encryption Standard), που παραμένει το χρυσό πρότυπο ασφαλείας μεταξύ των διαχειριστών κωδικών παγκοσμίως.

    Η Τεχνολογική Αναβάθμιση της Google

    Παλαιότερα, η αποκρυπτογράφηση των κωδικών του Chrome ήταν τετριμμένη υπόθεση – χρειαζόταν ελάχιστα περισσότερα από ένα σενάριο Python και γνώση του που αποθηκεύονται τα αρχεία. Αλλά ακόμα και εκεί, η Google έχει ανεβάσει τον πήχη της ασφάλειας.

    Η κρυπτογράφηση δεσμευμένη στην εφαρμογή (app-bound encryption) έχει ακυρώσει αυτές τις μεθόδους, και το να σπάσεις κωδικούς είναι πολύ πιο περίπλοκο από ό,τι ήταν παλιά. Επιπλέον, η Google έχει ενσωματωθεί με το Windows Hello. Αν το επιλέξετε, μπορείτε να προστατεύσετε τους κωδικούς σας κάθε φορά που συνδέεστε, ζητώντας το PIN ή τη βιομετρική σας πιστοποίηση.

    Τι Συμβαίνει με Άλλα Browsers;

    Άλλα προγράμματα περιήγησης δεν είναι εξίσου ασφαλή. Το Firefox, για παράδειγμα, ξεκαθαρίζει ότι, παρόλο που οι κωδικοί που αποθηκεύονται είναι κρυπτογραφημένοι, «κάποιος με πρόσβαση στο προφίλ χρήστη του υπολογιστή σας μπορεί ακόμα να τους δει ή να τους χρησιμοποιήσει». Το Brave λειτουργεί με παρόμοιο τρόπο, αν και υποπτεύομαι ότι οι περισσότεροι χρήστες του Brave χρησιμοποιούν ήδη έναν διαχειριστή κωδικών τρίτου (και πιθανότατα VPN).

    Παρόλα αυτά, η αποθήκευση των κωδικών σας ακόμα και σε ένα λιγότερο ασφαλές browser όπως το Firefox είναι κατά πολύ καλύτερη από το να μη χρησιμοποιείτε καθόλου διαχειριστή κωδικών. Και τα browsers που βρίσκονται στην πρώτη γραμμή του μεριδίου αγοράς, Chrome και Safari, έχουν βελτιώσει δραστικά τις πρακτικές ασφαλείας τους τα τελευταία χρόνια.

    Το πρόβλημα δεν είναι η κρυπτογράφηση – είναι το να βάζετε όλα τα αυγά σας σε ένα καλάθι.

    Λειτουργική Ασφάλεια (OpSec): Ο Πραγματικός Κίνδυνος

    Το OpSec, ή λειτουργική ασφάλεια, είναι συνήθως όρος που χρησιμοποιείται όταν μιλάμε για ευαίσθητα δεδομένα σε κυβερνητικούς ή ιδιωτικούς οργανισμούς. Ωστόσο, μπορείτε να εξετάσετε τη δική σας ασφάλεια μέσα από το πρίσμα του OpSec.

    Αν ήσασταν επιτιθέμενος και θέλατε να κλέψετε τους κωδικούς κάποιου, πώς θα το κάνατε; Εγώ ξέρω πού θα έψαχνα πρώτα.

    Το Πρόβλημα της Τριβής (Friction) στην Ασφάλεια

    Ακόμα και με καλύτερα μέτρα ασφαλείας, ο στόχος ενός διαχειριστή κωδικών που βασίζεται σε browser είναι να κάνει τους ανθρώπους να χρησιμοποιούν διαχειριστές κωδικών. Αυτό πρέπει να ισορροπείται με το πόσο εύκολος είναι στη χρήση ο διαχειριστής κωδικών.

    Σε μια ανάρτηση blog της Google που ανακοινώνει αλλαγές στις μεθόδους πιστοποίησης από το Google I/O φέτος, η εταιρεία αναφέρει τη μείωση της «τριβής» (friction) επτά φορές, ενώ η «κρυπτογράφηση» δεν αναφέρεται καθόλου. Αυτό δεν είναι κακό, αλλά αποτελεί απόδειξη του πώς σχεδιάζονται αυτά τα εργαλεία.

    Δεν χρειάζεται να διαλέξετε λέξεις από μια ανάρτηση blog για να δείτε αυτήν την εστίαση. Η Google σας δίνει την επιλογή να ενεργοποιήσετε το Windows Hello ή τη βιομετρική πιστοποίηση με το Google Password Manager. Κάθε φορά που θέλετε να συμπληρώσετε έναν κωδικό, θα πρέπει να πιστοποιηθείτε. Αυτό είναι αναμφίβολα πιο ασφαλές από το να μην πιστοποιείστε κάθε φορά, αλλά η ρύθμιση είναι απενεργοποιημένη από προεπιλογή. Δημιουργεί τριβή.

    Ο Κίνδυνος της Φυσικής Πρόσβασης

    Χωρίς να είναι ενεργοποιημένη αυτή η ρύθμιση, οποιοσδήποτε με πρόσβαση σε έναν συνδεδεμένο υπολογιστή θα μπορούσε να μπει στο browser σας, να πάει στις ρυθμίσεις και να δει (ακόμη και να εξάγει) τους κωδικούς σας σε απλό κείμενο. Αν είχα πρόσβαση στον υπολογιστή κάποιου και ήθελα να κλέψω κωδικούς, το πρώτο μέρος που θα πήγαινα είναι ο διαχειριστής κωδικών του browser.

    Ο Λογαριασμός Google ως Στόχος Υψηλής Αξίας

    Πιο ανησυχητικός είναι ο στόχος που έχει στην πλάτη ο λογαριασμός σας Google. Πριν από λίγους μήνες, το Gmail υπέστη παραβίαση δεδομένων, και παρόλο που δεν κλάπηκαν ευαίσθητες πληροφορίες, η Google προέτρεψε 2,5 δισεκατομμύρια χρήστες (περίπου το ένα τρίτο του παγκόσμιου πληθυσμού) να ενημερώσουν τους κωδικούς τους.

    Αν ένας επιτιθέμενος μπορέσει να καταλάβει επιτυχώς τον λογαριασμό σας, δεν είναι καλή ιδέα να του δώσετε τους κωδικούς σας επιπλέον της απεριόριστης πρόσβασης στο email σας και σε οποιεσδήποτε υπηρεσίες έχετε συνδέσει με τον λογαριασμό σας Google.

    Οι παραβιάσεις λογαριασμών συμβαίνουν, κυρίως λόγω phishing, σύμφωνα με την Google. Και πάλι, εξετάζοντας από οπτική γωνία OpSec, δεν είναι η καλύτερη ιδέα να κλειδώσετε τους κωδικούς για όλους τους λογαριασμούς σας πίσω από έναν λογαριασμό που είναι στόχος υψηλής αξίας.

    Τρόποι Προστασίας του Λογαριασμού σας

    Υπάρχουν τρόποι να αποτρέψετε την παραβίαση λογαριασμού, συμπεριλαμβανομένου του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και των μεθόδων πιστοποίησης που συνδέονται με τη συσκευή, όπως τα passkeys. Τόσο η Google όσο και η Apple προσφέρουν αυτές τις επιλογές για να αυξήσουν την ασφάλεια του λογαριασμού σας.

    Ωστόσο, αν εξετάσουμε τον μετριασμό κινδύνου, η αποθήκευση των κωδικών σας σε έναν διαχειριστή κωδικών τρίτου κατασκευαστή σας δίνει ένα επιπλέον επίπεδο προστασίας πέρα από το κλείδωμα ενός μόνο λογαριασμού υψηλής αξίας.

    Πέρα από την Ασφάλεια: Επιπλέον Χαρακτηριστικά που Κάνουν τη Διαφορά

    Η ασφάλεια είναι κατά πρώτο λόγο σημαντική όταν εξετάζουμε διαχειριστές κωδικών, αλλά ας μην χάσουμε το δάσος μέσα στα δέντρα. Ένας εμπορικός διαχειριστής κωδικών έρχεται με πολύ περισσότερες δυνατότητες και λειτουργικότητα.

    Προηγμένα Χαρακτηριστικά που Προσφέρουν οι Εξειδικευμένοι Password Managers

    Το Proton Pass, για παράδειγμα, σας δίνει πρόσβαση σε ψευδώνυμα email (email aliases) για να μειώσετε την πιθανότητα διαρροής της διεύθυνσης email σας σε μια παραβίαση.

    Το 1Password σας προσφέρει τη λειτουργία Travel Mode για να καθαρίσετε τα θησαυροφυλάκιά σας (vaults) όταν ταξιδεύετε.

    Το Bitwarden σας επιτρέπει να κρατήσετε ολόκληρο το θησαυροφυλάκιό σας εκτός διαδικτύου αν θέλετε, με επιλογή αυτο-φιλοξενίας (self-hosted).

    Αυτό χωρίς να αναφέρουμε την ποικιλία δεδομένων που μπορείτε να αποθηκεύσετε σε έναν διαχειριστή κωδικών τρίτου κατασκευαστή, συμπεριλαμβανομένων κρυπτογραφημένων εγγράφων και σημειώσεων, και προσαρμοσμένων καταχωρήσεων για οποιαδήποτε άλλα δεδομένα θέλετε να αποθηκεύσετε.

    Κοινή Χρήση και Συνεργασία

    Ένας αποκλειστικός διαχειριστής κωδικών όπως το NordPass σας επιτρέπει να μοιράζεστε τις καταχωρήσεις σας. Μπορείτε να μοιραστείτε κωδικούς που είναι αποθηκευμένοι στο Google Password Manager και το iCloud Keychain, αλλά μόνο μέσα στα δικά τους οικοσυστήματα.

    Με έναν διαχειριστή κωδικών τρίτου κατασκευαστή, μπορώ, για παράδειγμα, να μοιραστώ τον κωδικό Wi-Fi μου με κάποιον ακόμα κι αν δεν έχει λογαριασμό στην ίδια υπηρεσία.

    Σύγκριση Δημοφιλών Password Managers

    Δωρεάν Επιλογές

    • Bitwarden – Ανοιχτού κώδικα με άριστες δωρεάν δυνατότητες
    • Proton Pass – Έμφαση στην ιδιωτικότητα με email aliases

    Premium Επιλογές

    • 1Password – Ολοκληρωμένη λύση με έμφαση στην εμπειρία χρήστη (~$36/έτος)
    • Bitwarden Premium – Προσιτή τιμή με προηγμένα χαρακτηριστικά (~$10/έτος)
    • NordPass – Ενσωμάτωση με το οικοσύστημα NordVPN

    Το Τελικό Συμπέρασμα

    Η χρήση οποιουδήποτε διαχειριστή κωδικών είναι καλύτερη από το να μη χρησιμοποιείτε κανέναν. Οπότε αν αποφεύγετε τον διαχειριστή κωδικών του browser σας επειδή έχετε ακούσει ότι είναι επικίνδυνος, και ως αποτέλεσμα χρησιμοποιείτε τον ίδιο κωδικό σε διάφορες ιστοσελίδες, σταματήστε. Το browser σας είναι πιο ασφαλές από αυτό.

    Αλλά για όσους δεν έχουν πρόβλημα με λίγη επιπλέον «τριβή» για καλύτερη ασφάλεια, ένας διαχειριστής κωδικών τρίτου κατασκευαστή είναι η σωστή επιλογή.

    Πρακτικές Συμβουλές για Άμεση Εφαρμογή

    1. Ενεργοποιήστε το Windows Hello ή τη βιομετρική πιστοποίηση στον διαχειριστή κωδικών του browser σας
    2. Ενεργοποιήστε την on-device κρυπτογράφηση στο Google Password Manager
    3. Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA) σε όλους τους σημαντικούς λογαριασμούς
    4. Εξετάστε το ενδεχόμενο μετάβασης σε έναν εξειδικευμένο password manager αν η ασφάλεια είναι προτεραιότητα
    5. Μη χρησιμοποιείτε ποτέ τον ίδιο κωδικό σε πολλαπλές υπηρεσίες

    Η ασφάλεια των κωδικών σας δεν είναι θέμα αν θα παραβιαστούν, αλλά πότε. Η προετοιμασία σας σήμερα καθορίζει το μέγεθος του προβλήματος αύριο.

    Συχνές Ερωτήσεις

    Είναι ασφαλές να χρησιμοποιώ τον διαχειριστή κωδικών του Chrome;
    Ναι, ειδικά αν ενεργοποιήσετε την on-device κρυπτογράφηση και το Windows Hello. Ωστόσο, ένας εξειδικευμένος password manager προσφέρει επιπλέον επίπεδα ασφάλειας.

    Ποιος είναι ο καλύτερος δωρεάν διαχειριστής κωδικών;
    Το Bitwarden θεωρείται ευρέως ως ο καλύτερος δωρεάν password manager λόγω του ανοιχτού κώδικα και των πλούσιων χαρακτηριστικών του.

    Τι είναι η zero-knowledge encryption;
    Είναι μια μέθοδος κρυπτογράφησης όπου μόνο ο χρήστης έχει το κλειδί αποκρυπτογράφησης – ούτε καν η εταιρεία που παρέχει την υπηρεσία μπορεί να αποκτήσει πρόσβαση στα δεδομένα σας.

    Πόσο συχνά πρέπει να αλλάζω τους κωδικούς μου;
    Αλλάξτε κωδικούς μόνο όταν υπάρχει ένδειξη παραβίασης ή αν χρησιμοποιείτε αδύναμους κωδικούς. Η συχνή αλλαγή δεν αυξάνει απαραίτητα την ασφάλεια

    Share.

    Ο Δημήτρης είναι παθιασμένος με την τεχνολογία και τις καινοτομίες της Samsung. Αγαπά να εξερευνά νέες ιδέες, να λύνει προβλήματα και να μοιράζεται τρόπους που κάνουν την τεχνολογία πιο ανθρώπινη και απολαυστική.

    Related Posts

    Add A Comment
    Leave A Reply