نرم افزارهای مدیریت رمز عبور از ابتدای دهه 90 میلادی وجود داشته اند. مرورگرهای معروف نیز مدیریت رمز عبور را به عنوان یک ویژگی داخلی در اوایل دهه 2000 میلادی اضافه کردند. از آن زمان تا به امروز، بسیاری توصیه کرده اند که رمزهای عبور خود را از فضای ذخیره سازی ناامن مرورگر خارج کنید و به یک مدیر رمز عبور مناسب و کاملاً محافظت شده تبدیل کنید.

اما در حال حاظر، مرورگرها پیشرفت بسیاری کرده اند و دیگر رمزهای عبور شما را در معرض دستکاری خارجی قرار نمی دهند. به عنوان مثال، اگر می خواهید به یک مدیر رمز عبور اختصاصی تغییر دهید، احتمالاً باید به طور فعال رمزهای عبور را از مرورگر صادر کرده و آنها را به محصول جدید خود وارد کنید.

اما آیا مرورگرها به اندازه ای پیشرفت کرده اند که بتوانیم توصیه کنیم رمزهای عبور را در آنها ذخیره کنید؟ به طور خاص، آیا باید از Google Password Manager استفاده کنید که به راحتی در کروم قابل استفاده است؟ به گفته کارشناسان حوزه امنیت، پاسخ همچنان منفی است.

حتی نرم افزارهای مدیریت گذرواژه اختصاصی نیز ممکن است نشت کنند

برای کسب و کاری که مبتنی بر مدیریت رمز عبور است، اعتماد همه چیز آن محسوب می شود. تعدادی شرکت در زمینه ارائه نرم افزارهای مدیریت رمز عبور، از تکنیک های دانش صفر برای محافظت از داده های رمزگذاری شده شما استفاده می‌کنند. به این دلیل که هیچکس، نه شرکت رمز عبور، نه دولت و نه شخص ثالثی، نتواند رمز عبور اصلی شما را بداند یا اطلاعات شما را رمزگشایی کند.

با این وجود، خطاها در پیاده سازی این برنامها می تواند امنیت رمز عبور شرکت ها و سازمان ها را به خطر بیندازند. در یک سری افشاگری که در سال 2022 میلادی منتشر شد، سایت های خبری اعلام کردند که هکرها کامپیوتر یکی از کارکنان کلیدی LastPass را هک کرده اند تا تعداد نامعلومی از داده های رمزگذاری شده را به سرقت ببرند. متاسفانه بدتر از آن این است که، برخی از عناصر داده مهم مانند دامنه های ورود رمزگذاری نشده بودند. بعد از انتشار این خبر، امروزه اعتماد به شرکت LastPass سخت تر شده است.

نرم افزار مدیریت رمز عبور KeePass نیز مورد علاقه بسیاری از متخصصان فناوری است که به دلیل امکانات بی پایان و سفارشی سازی آن است. با این حال، همان قدرت سفارشی سازی به عنوان نوعی پاشنه آشیل آشکار شده است. هر کسی که با استفاده از یک تروجان دسترسی از راه دور یا با نشستن در غیاب شما به رایانه شما دسترسی پیدا کند، قادر خواهد بود به تمام رمزهای عبور Keepass شما دسترسی داشته باشد.

نحوه فعال یا غیرفعال کردن Google Password Manager

قبل از پرداختن به این موضوع که آیا باید از Google Password Manager استفاده کنید، بیایید نحوه غیرفعال کردن آن را مرور کنیم (البته اگر این نتخاب شماست). ابتدا مطمئن شوید که همگام سازی را در تمام موارد Chrome که می خواهید رمزهای عبور را به اشتراک بگذارید، فعال کرده باشید. روی منوی سه نقطه در سمت راست بالای پنجره Chrome کلیک کنید، سپس روی تنظیمات کلیک کنید. مورد بالای منوی سمت چپ (اولین گزینه)، با عنوان You and Google، باید در ابتدا انتخاب شود. اگر نه، روی آن کلیک کنید. در گفتگوی به دست آمده، می توانید همگام سازی را روشن یا خاموش کنید.

اکنون روی تکمیل خودکار، درست در زیر You and Google کلیک کنید و روی Password manager کلیک کنید. اگر می خواهید از Google Password Manager استفاده کنید، موارد Offer to Save Passwords and Auto Sign-in را روشن کنید. اگر نه، آنها را خاموش کنید.

برای اطلاعات بیشتر درباره Google Password Manager، می توانید در گوگل در مورد آن مطالعه کنید. اما به هر حال نمیتوان آن را از نقطه نظر امنیتی توصیه کرد. اما مشخص است که برخی از افراد قرار است ایمنی را فدای راحتی کنند.

آنچه کارشناسان درباره مدیریت رمز عبور مرورگرها می گویند

برای تکمیل دانش و تجربه در این زمینه، از کارشناسان چندین شرکت معروف مدیریت رمزهای عبور تجاری، از جمله کریگ لوری، بنیانگذار و مدیر ارشد فناوری Keeper و مایکل کراندل، مدیر عامل شرکت Bitwarden دعوت به گفت و گو شد.

مدیریت رمز عبور مرورگر راحت اما خطرناک هستند

کریگ لوری، با هشدار نسبت به استفاده از مدیریت رمز عبور مرورگر، می گوید:

علیرغم هشدارهای مداوم کارشناسان امنیت سایبری در مورد آسیب پذیری های مدیریت رمز عبور مرورگرها، کاربران همچنان راحتی خود را ترجیح می دهند.

لوری اعلام کرد که اخیرا مطلبی در سایت Keeper، فهرستی طولانی از اینکه چرا مدیریت رمز عبور مرورگر ها ایمن نیست، منتشر شده است.

رمزگذاری دانش صفر دلیلی است که نرم افزارهای مدیریت رمزهای اختصاصی می توانند داده های شما را بدون دسترسی به رمز عبور اصلی شما ایمن نگه دارند.

کریگ لوری در این باره می گوید:

مدیریت رمز عبور شرکت گوگل از رمزگذاری دانش صفر استفاده نمی کند. در اصل، Google قادر است هر چیزی را که ذخیره می کنید ببیند. آنها دارای یک ویژگی “اختیاری” برای فعال کردن رمزگذاری رمزهای عبور روی دستگاه هستند، اما حتی در صورت فعال بودن، کلید رمزگشایی اطلاعات در دستگاه ذخیره می شود.

مایکل کراندل نیز موافق است که داده های ذخیره شده در مرورگر مانند اطلاعات مدیریت رمز عبور محافظت نمی شود.

او در این باره می گوید:

هکرها از روش های مهندسی اجتماعی برای فریب کاربران اینترنت برای دانلود برنامه های افزودنی جدید استفاده می کنند که به راحتی می توانند داده های ذخیره شده در مرورگر را استخراج کنند. در حالی که هیچ مشکلی در ذخیره سازی رمزهای عبور ابری وجود ندارد، یک شرکت باید اطمینان حاصل کند که داده های کاربران قبل از ذخیره در فضای ابری رمزگذاری شده است. بنابراین، کاربران اینترنت باید ارائه دهنده خدماتی را انتخاب کنند که رمزگذاری سرتاسر را تضمین کند.

کراندل با اشاره به گوگل می گوید:

هر مدیریت رمز عبور بهتر از عدم مدیریت رمز عبور است.

اما در ادامه هشدار داد که محدودیت مدیریت رمز عبور مبتنی بر مرورگر این است که آنها فقط در یک باغ دیواری کار می کنند. اگر زمانی نیاز به کار در مرورگر دیگری یا محیطی داشته باشید که آن مرورگر به آن دسترسی نداشته باشد، دیگر قابل استفاده نخواهند بود.

نرم افزارهای مدیریت رمز عبور ویژگی های بیشتری دارند

لوری فهرستی از روش های ساده ارائه نمود که در آن مدیریت رمز عبور داخلی کروم با استانداردهای نرم افزارهای مدیریت رمز عبور اختصاصی مطابقت ندارد. برای مثال شما در هنگام استفاده از کروم، اگر از مرورگر دیگری استفاده کنید، با مشکل مواجه می شوید. هیچ گزینه ای برای اشتراک گذاری ایمن گذرواژه ها و همچنین برای ایجاد وارث دیجیتالی برای مجموعه رمز عبور شما وجود نخواهد داشت. مرورگر فقط گذرواژه ها را ذخیره میکند، نه اطلاعات شخصی مانند آدرس، شماره حساب و کارت های اعتباری.

کراندل همچنین با اعلام کمبود ویژگی های مهم در سیستم های مدیریت رمز عبور مبتنی بر مرورگر، گفت:

چنین سیستم هایی فاقد اشتراک گذاری امن گذرواژه ها با همکاران و خانواده، پشتیبانی از ورود به سیستم بیومتریک و کلیدهای امنیتی، گزارش هایی در مورد ضعیف بودن، استفاده مجدد یا نقض شدن رمزهای عبور شما، ادغام با سیستم های موجود در محل کار مانند SSO و بسیاری دیگر نیستند.

او در ادامه سخنان خود می گوید:

بسیاری از مرورگرها به رمز عبور اصلی یا تایید احراز هویت چند عاملی (MFA) نیاز ندارند. گوگل مجوز MFA را می دهد، اما نیازی به آن ندارد. و در واقع، رمز عبور اصلی وجود ندارد. اگر میزتان را با Chrome فعال ترک کنید، هر کسی که دسترسی داشته باشد می تواند وارد حساب های شما شود. اگر به شخص دیگری اجازه دهید از تلفن شما استفاده کند، همین امر نیز صادق است.

مدیریت رمز عبور واقعی

برای امنیت رمزهای عبور خود Google Password Manager گزینه مناسبی نیستند. ابزارهای اختصاصی رمز عبور ویژگی های بسیاری را ارائه می دهند که با مرورگر داخلی آن را دریافت نمی کنید. شما فقط می توانید از سیستم رمز عبور گوگل در کروم (یا تا حدی اندروید) استفاده کنید. اینها تنها تعدادی از دلایلی است که شما باید به جای تکیه بر کروم، یک نرم افزار مدیریت رمز عبور واقعی داشته باشید.

این بسیار راحت است که Google Password Manager به عنوان یک ویژگی رایگان یک مرورگر رایگان ارائه می شود. با این حال، این دلیل کافی برای پذیرش امنیت محدود برای رمزهای عبور شما نیست. تعداد زیادی نرم افزار مدیریت رمز عبور رایگان وجود دارد که با همان قیمت صفر دلاری از رمزهای عبور شما محافظت جدی می کنند. شما با خیال راحت می توانید از یکی از آنها استفاده کنید.