Почему блокируются менеджеры паролей – часть 2
Это продолжение статьи о блокировке менеджеров паролей мы бы назвали еще и так: «Добрыми намерениями выстлана дорога в ад». Поскольку несмотря на то, что сами владельцы интернет-ресурсов преследуют исключительно благие цели, хотя и способствуют при этом развитию негативных сценариев для безопасности.
Итак, почему же компании намеренно ограничивают пользователей в копировании и вставке их паролей? Представитель PayPal рассказал, что: «Отключение этой функции является проверенным способом противодействовать некоторым видам вредоносных программ. Мы сожалеем, что это может вызывать неудобства, однако безопасность операций и безопасность данных наших клиентов является нашим главным приоритетом».
Но, как отметил Трой Хант, специалист по безопасности Microsoft MVP, на своем веб-сайте, «Ирония этой позиции заключается в том, что [она] устанавливает предположение, что скомпрометированная машина может подвергнуть опасности свой буфер обмена, к которому осуществляется доступ мошенника, но не предполагается, что она может скомпрометировать нажатия клавиш. Зачем пытаться вытащить пароль из памяти компьютеров небольшой части людей, которые решили использовать менеджер паролей, когда вы можете просто захватить нажатия клавиш с использованием вредоносных программам?»
Что касается Barclaycard, представитель компании сообщил, что отключение возможности копирования паролей «является функцией безопасности, цель которой состоит в предотвращении фишинга паролей и атак грубой силы.»
Однако аккаунты не взламываются с помощью повторяющегося копирования и вставки. Один хакер поделился признанием, что отключение возможности вставки пароля на веб-странице не сможет остановить его от использования автоматизированных инструментов для быстрого получения доступа к счетам пользователей.
Наконец, Western Union вообще не пытался оправдываться, и смутно ответил, что процедура была проведена «в целях снижения рисков при доступе на сайт как с домашнего ПК, так и в многопользовательских средах.»
И хотя компании могут думать, что они помогают своим клиентам, аргументы для устранения возможности для пользователей вставки их паролей выглядят довольно слабыми.
«Компании постоянно прерывают работу менеджеров паролей, так как они ошибочно полагают, что таким образом они способствуют улучшению ситуации, вынуждая людей на самом деле вводить пароли вручную» - заявил Джо Сейгрст, генеральный директор LastPass, компании-производителя менеджера паролей. (Важно отметить, что сам по себе LastPass и сам был взломан ранее в этом году.)
К чему приведет такое отношение к менеджерам паролей со стороны некоторых компаний, рассмотрим в следующей статье.