Elendig passordsikkerhet i flere nettlesere

Det å la nettleseren huske passordene dine, er nyttig, men også risikabelt.

De aller fleste nettlesere har en innebygd funksjon som kan ta vare på brukeren innloggingsinformasjon til ulike nettsteder og -tjenester. Normalt spørres brukeren i hvert enkelt tilfelle om brukernavnet og passordet skal huskes. Det vil da forhåndsutfylles neste gang brukeren returnerer til et nettsted.

Men ikke alle nettlesere er like pålitelige når de betros en slik oppgave. Det viser en undersøkelse gjort av Chapin Information Services (CIS).

CIS har tatt for seg de vanligste nettleserne på markedet, nærmere bestemt Internet Explorer 7, Firefox 3, Opera 9.62, Safari 3.2, samt Chrome 1.0. I samtlige tilfeller er det Windows-utgaven som er blitt benyttet.

Nettleserne ble kjørt gjennom en serie tester. Blant disse er det spesielt tre problemer som, når de kan kombineres, kan åpne for at passordtyver får tilgang til brukerens passord uten at brukeren for kjennskap til det:

  1. Destinasjonen hvor passordene sendes blir ikke sjekket
  2. Det sjekkes ikke om stedet hvor det bes om passord stemmer overens med stedet hvor passordet opprinnelig ble oppgitt
  3. Usynlige skjemaelementer kan utløse passordhåndteringen

Googles Chrome-nettleser kommer i testen på delt sisteplass sammen med den andre Webkit-baserte nettleseren, Apples Safari. Begge feiler i 19 av de 21 deltestene. Chromes passordhåndterer har alle de tre nevnte problemene, i tillegg til en mengde andre.

CIS testet i juli i år en del tredjeparts applikasjoner og plugins for passordhåndtering, og også disse var generelt dårlige, men tilbød likevel mer iboende sikkerhet enn både Safari og Chrome.

I motsatt ende av skalaen kommer nettleserne Opera og Firefox. Disse greide riktignok bare 7 av 21 testene, men det er likevel nok til å dele førsteplassen. Internet Explorer kom på tredjeplass etter at den besto 5 av de 21 testene.

Det er interessant å se at det er flere av testene som ingen av nettleserne greier. Samtidig er det heller ingen tester som samtlige nettlesere består. Det er tydelig at leverandørene av nettleserne har fokusert på ulike deler av passordsikkerheten.

Flere detaljer, inkludert beskrivelse av de ulike testene, finnes på denne siden. Der er det også tilgjengelig en test knyttet til interaktiv passordhåndtering som man kan utsette sin nettleser for.

Til toppen