Специалист по безопасности Эрик Гейер (Eric Geier) из компании NoWiresSecurity опубликовал сравнительный обзор трёх браузеров IE 9, Chrome 21 и Firefox 14 с точки зрения безопасности хранения паролей.
Как ни странно, самая слабая защита реализована в браузере Chrome. Кто угодно, получив доступ к компьютеру, может зайти в настройки и посмотреть любой пароль из списка, где сайты расположены по алфавиту. Пароли выглядят как звёздочки, но можно нажать на любую запись, выбрать пункт «Показать пароль» — и его покажут открытым текстом.
Хуже того, в настройках Autofill можно увидеть адреса и информацию о кредитных картах пользователя.
На этом проблемы Chrome не заканчиваются. Функция синхронизации Chrome позволяет синхронизировать между собой несколько браузеров на разных устройствах. При настройках по умолчанию для этого достаточно ввести пароль Google Account. Таким образом, если злоумышленник узнает пароль Google Account — он может мгновенно получить список всех пользовательских паролей на всех сайтах, просто осуществив синхронизацию браузеров. Чтобы избежать этого, нужно установить дополнительную парольную фразу на синхронизацию.
В браузере Internet Explorer 9 списка паролей не видно, и даже при автозаполнении формы во время входа на сайты нельзя посмотреть пароль, закрытый звёздочками. Чтобы снять базу паролей IE или посмотреть символы за звёздочками, требуется использование отдельной программы. В IE9 также отсутствует синхронизация между устройствами. Впрочем, в браузере IE 10 и Windows 8 разработчики исправили оба эти «недостатка»: там появился и список паролей, и синхронизация между устройствами, и обе эти функции так же уязвимы перед злоумышленником, как и в Chrome.
Наиболее защищённым из популярных браузеров можно назвать Firefox. Хотя с настройками по умолчанию он ничем не лучше Chrome, но продвинутые пользователи могут активировать функцию мастер-пароля, после чего всё хранилище паролей надёжно шифруется мастер-ключом. Этот ключ требуется вводить каждый раз при срабатывании автозаполнения форм, так что здесь утечка информации отсутствует.
Функция мастер-пароля с шифрованием базы не реализована ни в одном другом браузере из рассматриваемых в обзоре.
Синхронизация между компьютерами в Firefox реализована более защищённым способом, чем в Chrome: по умолчанию, он шифрует все передаваемые данные, а не только пароли, как в Chrome. Кроме того, добавить новое устройство для синхронизации не так просто: требуется реально доказать, что оба устройства принадлежат одному человеку. Это делается введением на одном устройстве кода, которое приходит на другое устройство, или через ключ восстановления (recovery key), снятый с одного устройства и перенесённый на другое устройство.