Proč je ukládání hesel do internetového prohlížeče nebezpečné a jak mu zabránit

Dnes je doba webových aplikací. Maily obsluhujeme přes webové rozhraní, kontakty, kalendář, dokumenty, databázi zákazníků (CRM), fakturační systém, správu eshopu, komunikaci s úřady (datové schránky). To jsou webové aplikace obsluhované přes internetový prohlížeč.

Pokud zadáte heslo, prohlížeč vás vyzve k uložení hesla pro příště. Je to pohodlné. Ale když to uděláte

  1. Už to heslo nebudete muset zadávat při příští návštěvě
  2. Nebude to heslo muset zadávat ani potenciální útočník

Do vašeho počítače má přístup kdokoliv a zaheslovat jej nestačí

Před pár lety jsme si hráli např. s Hiren Boot CD. Existuje celá řada novějších nástrojů.

S jejich pomocí stačí útočníkovi pár sekund u vašeho (klidně vypnutého) počítače. Odskočíte si na záchod, na oběd, necháte notebook na schůzce v kavárně „důvěryhodnému“ potenciálnímu zákazníkovi… Je to snadné, a je tam.

Jakmile se vám dostane do počítače, tak ví kam se chce dostat, anebo si otevře vaši historii prohlížení webových stránek a vybere si, co jej zajímá. Pokud máte uložená hesla, nic mu nebrání si vaše data prohlížet a manipulovat s nimi. Vyexportovat je, upravit je, prodat je, zablokovat je a pak vám prodat jejich odblokování…

Všechny databáze jsou dnes někde v cloudu

Soubory, kontakty, čísla, neveřejné firemní wiki…Už se neukládají na lokální počítače, málokdy na firemní servery vedle v kanceláři (protože je snazší vykrást vaši kancelář a odnést si server, než se nabourat do fyzicky i softwarově zabezpečeného cloudu).

Většina cloudů má přístup přes webovou stránku. Pokud její zaheslování zrušíte tím, že si heslo uložíte do prohlížeče, jste neinformovaní. Pokud byste to udělali i podruhé, již jako informovaní, možná si útok zasloužíte.

Jak zabránit ukládání hesel do prohlížeče

Na konci článku uvedu krok za krokem postup, jak to nastavit na svém počítači. Ve Firefoxu, Chrome, Safari.

Jak na to ve firemním prostředí

1) Důvěřujete svým lidem a považujete je za rozumné

Požádejte je, aby si nastavili prohlížeče tak, aby hesla neukládaly. A pak jim dejte nástroj pro správu hesel, který ta hesla bude spravovat, ale na mnohem vyšší úrovni zabezpečení.

Např. 1Password a proškolte je v jeho používání. Hesel je hodně a bylo by naivní si myslet, že bez správce hesel to bude bezpečnější – začali by hesla psát po lístečkách a všude používat jedno stejné heslo.

Výhody:
+ Nízké pořizovací náklady

Nevýhody:
– Náchylnost na ignoranty, kteří si hesla stále ukládají

2) Na bezpečnosti vám záleží, ale na rychlosti a produktivitě práce také

Pořiďte si windows server a nechte si tam zřídit doménu. To je nástroj, který dovolí se do firemní sítě připojit jen ověřeným počítačům (každý nový musíte nahlásit svému IT).

A s každým ověřeným počítačem může jeho uživatel dělat jen to, co mu správce povolí. Takže pak s instalací každé drobnosti potřebuje uživatel obtěžovat IT správce, ale máte jistotu, že nebudou ukládána hesla do prohlížeče, že bude všude aktuální antivir, že všem pojede tiskárna spolehlivě, že bude na počítačích jen legální software, atd.

Výhody:
+ vysoká bezpečnost
+ kontrola nad legálností software

Nevýhody:
– pořizovací a provozní náklady
– hlavně uživatelé s každou drobností obtěžují IT správce, což je zdržuje

3) Bezpečnost je důležitější než rychlost práce

Počítače nechte nastavit pro virtuální pracovní stanice. Uživatel se na svém počítači jen přihlásí a vše ostatní dělá přes svůj počítač na vzdáleném serveru. Takže u sebe nemá žádná data, žádnou kontrolu.

Přestože dál sedí na svém místě a používá svou klávesnici, už nemá plnohodnotný počítač.

Výhody:
+ obrovská bezpečnost
+ snížení nákladů na pořízení počítače pro uživatele

Nevýhody:
– zpomalení práce uživatelů. Každý stisk klávesy se přenáší na server a jeho odezva zpět k uživateli, aby viděl, zda byl stisk klávesy přijat a proveden.
– nutnost mít správce na fulltime, nebo využít cloudových služeb

Kro za krokem – jak zabránit ukládání hesel do prohlížeče na svém počítači

Firefox – Nastavení, předvolby, soukromí a zabezpečení, nastavení soukromí, zrušte zaškrtnutí volby „pamatovat si přihlašovací údaje“.

Chrome – Nastavení, rozšířená nastavení, hesla a formuláře, nastavení automatického vyplňování, zaškrtněte „vypnuto“.

Safari –  Předvolby, Vyplňování, zrušte zatržení „uživatelská jména a hesla“.

Jak je to u nás ve firmě

Máme tady chytré lidi, na které je spoleh. Přesto jsem zjistil, že správce hesel někteří nepoužívají a hesla si dál ukládají do prohlížeče.

Protože tu máme vývojáře, kteří často něco instalují, nechci jim házet klacky pod nohy omezováním jejich práv na jejich počítačích.

A tak doufám, že když jim teď připomenu, proč to děláme, pochopí to a začnou se chovat zodpovědni ti, kterým to doteď nedošlo.

Třetím krokem by bylo silné omezení pro všechny v podobě domény, nebo vzdálených pracovních stanic. Do toho bych šel hodně nerad. Tak si držím palce;) Držte mi je taky. Díky

Co na to GDPR?

Na jaře 2018 tohle bude muset mít vyřešeno každá firma. Takže se řešení nevyhnete. Jde jen o to, jestli vás do té doby, než to ve firmách lidi nasadí pořádně, někdo nenapadne.