Sem kerfisstjóri þá minni ég notendur mína reglulega á einfaldar umgengisreglur um tölvurnar sem þeim er skaffað. Sem dæmi þá minni ég á að smella ekki á tengla í tölvupóstum frá fólki sem þeir þekkja ekki og einnig bið ég þá um að láta vafran þeirra ekki vista leyniorð á þær síður sem þeir nota, alveg sama hvort þær séu vinnutengdar eða ekki. Margar ástæður fyrir þessu en sú helsta er að það eru mjög fáar tölvur sem eru bara notaðar af einum einstaklingi (eingöngu) og einfalt er að komast í viðkvæm skjöl ef leyniorð eru vistuð í vafra.
Ég leyfi samt oft öðrum að nota tölvuna mína þar sem ég vill meina að ég passi uppá þessi atriði en fjölskyldumeðlimir eða vinir í heimsókn fá oft að nota tölvuna mína ef þeim vantar.
Samt ef maður spáir í það þá getur viðkomandi samt opnað öll forrit sem eru sjálfkrafa innskráð, sent tölvupóst eða t.d. opnað vafra og “unlike´að” krúttlega kattarmyndbandið á Facebook ef ég læt vafran vista leyniorð. Þetta væri frekar pirrandi en svo sem ekki hættulegt þar sem viðkomandi getur ekki séð leyniorðið sem þú notar…… eða hvað
Chrome
Ef þú notar Chrome til að vista leyniorð þá eru þau samstillt milli allra tækja sem þú notar og ef ég hefði aðgang að einhverju einu tæki þá mundi líklega duga mér nokkrar sekúndur til að komast yfir öll þín leyniorð. Eina sem ég þarf að gera er að opna Chrome og slá inn chrome://settings/passwords til að komast í óvarin (clear text) leyniorð á öllum þeim þjónustum sem þú notar.
Þetta er það sem “hakkari” sér ef þetta er gert í Chrome hjá mér, eina sem þarf að gera er að smella á “Show” og þá sést leyniorðið óvarið
BTW BAZINGA er ekki leyniorðið mitt
Þetta er svo sem ekki nýr möguleiki en hann fékk mikla umfjöllun í dag þegar Elliott Kember fjallaði um þetta á bloggi sínu. Google hafa svarað þessu og benda á að ef “hakkari” sé á annað borð með aðgang að tölvunni þá skipti engu máli hvaða dulkóðun er á leyniorðum, hann geti alltaf brotið þær (samtal þeirra á milli er hér).
Þetta er líklega rétt en þessi réttlæting er hlægileg því það þarf enga kunnáttu til þess að fá aðgang að leyniorðum með þessu móti…
Ef þú notar Chrome þá mana ég þig til að smella á þennan tengil og skoða: chrome://settings/passwords
Ef vinur þinn notar Chrome, sýnu honum hversu óörugg leyniorðin hans eru.
Firefox
Þetta vandamál er ekki bara bundið við Chrome þar sem þetta er líka hægt í Firefox.
Mynd frá ZDNet
Reyndar getur notandi sem notar Firefox sett aðal-leyniorð (master password) sem þarf að slá inn áður en leyniorð eru sýnd. Gallinn er að ekki er beðið um Maser Password nema að notandi setji það upp sjálfur (ekki default krafa).
Internet Explorer
Þetta er töluvert öðruvísu sett upp í Internet Explorer en leyniorð eru hýst í Web Credential Manager í Windows 7 og Windows 8. Þar getur notandi sannarlega smellt á “show password” en þarf engu að síður að slá inn notendanafn og leyniorð áður en það er hægt.
Það er hræðilegt að sjá að það þurfi enga kunnáttu til að komast yfir öll leyniorð notenda í Chrome og Firefox (án master password) og að það sé hægt á aðeins nokkrum sekúndum. Þetta er allavega erfiðara ef þú notar Internet Explorer þar sem viðkomandi þarf að vita Windows leyniorðið áður. Sama hvað hver segir þá vona ég svo innilega að Google endurskoði hvernig þessu er hagað í Chrome.
Hafa verður samt í huga að þetta skiptir litlu máli ef hæfur “hakkari” kemst inn í tölvuna þína eða bara ef þú lánar tölvuna þína án þess að gera einhverjar ráðstafanir. Ef þú þér brá við að lesa þetta hér að ofan eða ef þú þarft að leyfa öðrum að nota tölvuna þína þá eru hér nokkur ráð sem vert er að hafa í huga
- Aldrei fara frá tölvunni án þess að læsa henni. Nóg er að smella á Windows + L til að læsa tölvunni ef þú notar Windows.
- Ef þú þarft að lána tölvuna þá upplagt að setja leyniorð á notendan þinn og virkja Gesta aðgang (Guest user) sem hefur minni réttindi og engan aðgang að gögnunum þinum.
- Aldrei láta vafran vista leyniorðin þín.
- Notaðu lykilorðaforrit sem dulkóða leyniorð og krefjast þess að slegið sé leyniorð áður en vistuð leyniorð sjást.
Heimildir