Egyre több olyan megoldás válik elérhetővé, ami mentesíthet bennünket a jelszavak megjegyzésének terhétől, mint például az iOS 16 új funkciója, a Passkey. Ám addig, amíg ezek szélesebb körben ismertté nem válnak, nem tehetünk mást, mint hogy valahogy tároljuk a jelszavainkat. Erre továbbra is a jelszó széf a javasolt módszer, azonban sokan ─ a tagadhatatlanul leginkább kényelmes megoldást választva ─ a webböngészőkbe mentik a jelszavakat. E heti tippünkben összeszedtük, hogy ez miért nem igazán biztonságos.
 |
Habár a webböngészők ma már törekednek arra, hogy a lementett jelszavainkat titkosítottan tárolják, a gond az, hogy egy különálló jelszószéfhez képest általában nem fordítanak elég gondot a biztonságra. Mindenesetre sok esetben nincs elég információ ennek megítéléséhez.
A Google Chrome például csupán annyit közöl a jelszavak védelmével kapcsolatban, hogy a jelszavak a készülékhez kötődő titkos kulcssal kerülnek titkosításra, ami azután nem kerül fel a Google szervereire, azonban ebből például az nem derül ki, hogy mennyire erős tikosítást alkalmaz a cég. A Google böngészője például mesterjelszóval sem védi a tárolt jelszavakat, a Mozilla Firefox és a Microsoft Edge esetében pedig bár van erre mód, ezt külön aktiválni kell. |
| A léteznek olyan támadási technikák, amelyekkel a támadók kinyerhetik a böngészőben mentett jelszavakat, ha már hozzáféréssel rendelkeznek a készülékünkhöz, például rákattintottunk egy e-mailben küldött vírusos csatolmányra.
A Mittre ATT&CK például jellemző támadótechnikaként tartja számon, hogy Windows operációs rendszeren az enkriptált jelszavak kiolvashatóak az AppData\Local\Google\Chrome\User Data\Default\Login Data adatbázisból egy egyszerű SQL lekérdezéssel. A jelszavak ezután szabad szöveges formában kinyerhetőek a Windows CryptUnprotectData API segítségével, ami a gyorsítótárban lévő hitelesítőadatokat használja a fájlok kikulcsolására. A FireFox, Safari, és Edge esetében is ismertek hasonló technikák, emellett a fenyegetési szereplők a böngésző folyamatok memóriájában is „elcsíphetik” a jelszavakat. Ismertek olyan kémprogramok ─ például a RedlineStealer, az Azorult, Agent Tesla ─, amelyek a jelszavak ellopására szakosodtak. |
 |
Így kapcsoljuk ki a jelszavak automatikus mentését a legismertebb böngészőkben:
| Chrome: Beállítások > Automatikus kitöltés > Jelszókezelő => Kapcsoljuk ki a jelszavak mentésének felajánlását. |
 |
| Firefox: Beállítások > Adatvédelem és biztonság > Bejelentkezések és jelszavak => Vegyük ki a pipát a Felhasználónevek és jelszavak megjegyzésének megkérdezése az oldalakhoz menüpontban. |
 |
| Edge: Beállítások > Profilok > Jelszavak. => Kapcsoljuk ki a jelszavak mentésének felajánlását. |
 |
Így töröljük a mentett jelszavakat a böngészőkből:
| Chrome: Beállítások > Automatikus kitöltés > Jelszókezelő alatt töröljük egyenként a mentett jelszavakat
Vagy választhatjuk az Adatvédelem és biztonság menüpontban a Böngészési adatok törlése opciót is, ahol a felugró listában válasszuk a Jelszavak és más bejelentkezési adatok lehetőséget |
 |
| Firefox: Beállítások > Adatvédelem és biztonság. Felhasználónevek és jelszavak > Mentett bejelentkezések > jobb felső sarokban: Összes bejelentkezés eltávolítása |
 |
| Edge: Beállítások > Profilok > Jelszavak alatt töröljük egyenként a mentett jelszavakat vagy választhatjuk az Adatvédelem, keresés és szolgáltatások menüpontban a Böngészési adatok törlése most opciót is |
 |
