Peneliti: Chrome, Manajer Kata Sandi Safari Perlu Bekerja

Google Chrome dan peramban Safari Apple dapat melakukan pekerjaan lebih baik dalam melindungi kata sandi, menurut peneliti keamanan yang merilis studi tentang pengelola kata sandi peramban Jumat.

"Safari dan Chrome pada dasarnya terkait dengan pengelola kata sandi terburuk yang dibangun peramban web utama, "kata Robert Chapin, presiden Chapin Information Services, dalam laporannya, yang meneliti jenis-jenis browser pemeriksaan keamanan yang digunakan untuk memastikan bahwa mereka mengirim informasi nama pengguna dan kata sandi ke situs web yang sah, bukan peretas cerdik.

Dua tahun lalu Chapin melaporkan kesalahan pengelola kata sandi yang dipublikasikan secara luas di peramban Firefox, dinilai kritis oleh para pengembang Mozilla. Bug itu digunakan oleh penyerang di situs Web MySpace.com yang telah membuat halaman login palsu untuk mencuri informasi akun dari pengguna situs jejaring sosial.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Firefox kini telah melakukan banyak hal untuk meningkatkan pengelola kata sandi, tetapi semua produk ini masih jauh dari sempurna, kata Chapin dalam sebuah wawancara. "Haruskah semua orang menaruh kepercayaan implisit 100 persen di setiap pengelola kata sandi?" Dia bertanya. "Tidak sama sekali."

Satu masalah adalah manajer kata sandi hari ini dapat ditipu untuk mengirimkan kredensial kata sandi yang berbeda ke bagian yang berbeda dari situs Web yang sama. Itulah yang dilakukan peretas dengan serangan MySpace, memposting formulir entri kata sandi palsu di halaman MySpace. Karena kedua formulir masuk palsu dan nyata ada di domain myspace.com, peramban seperti Firefox dapat diakali secara otomatis mengirimkan informasi masuk ke penipu. Bug itu telah diperbaiki di Firefox sekarang, tetapi Chrome dan Safari masih rentan terhadap serangan serupa.

Masalah lainnya adalah bahwa browser akan mengirim kata sandi yang ditujukan untuk satu domain, Google.com misalnya, ke domain lain - misalnya Myspace. com - tanpa memperingatkan pengguna, katanya. Itu karena pembuat peramban menganggap bahwa halaman yang meminta kata sandi harus dipercaya, bahkan jika itu mengirimkan kata sandi ke domain lain, katanya.

Chapin mengatakan dia menggunakan pengelola kata sandi Opera karena itu lebih baik membiarkannya simpan kata sandi untuk halaman Web tertentu. Dia telah memposting tes online di mana pengguna dapat menguji keamanan dari pengelola kata sandi mereka sendiri.

Robert Hansen, CEO dari konsultan keamanan Web SecTheory, mengatakan bahwa komunitas keamanan telah mengetahui selama beberapa tahun sekarang bahwa pengelola kata sandi browser tidak aman. Ini terutama karena peramban itu sendiri rentan terhadap begitu banyak jenis serangan. "Mereka bukan ide bagus dari perspektif keamanan begitu mereka terintegrasi ke dalam peramban," katanya melalui pesan instan. "Peramban itu sendiri tidak dirancang untuk menghentikan sebagian besar eksploit yang memungkinkan pencurian kata sandi manajer. Tanpa eksploit tersebut, peretasan pengelola kata sandi tidak akan berfungsi."