Ako sú zabezpečené uložené heslá prehliadača Chrome?
Bežná otázka o prehliadači Google Chrome je "prečo neexistuje hlavné heslo?" Spoločnosť Google (neoficiálne) zaujala stanovisko, že hlavné heslo poskytuje falošný pocit bezpečia a najzachovalejší spôsob ochrany týchto citlivých údajov je prostredníctvom celkovej bezpečnosti systému.
Tak presne ako bezpečne sú uložené údaje o heslách v prehliadači Google Chrome?
Zobrazenie uložených hesiel
Chrome obsahuje vlastný správca hesiel, ktorý je dostupný prostredníctvom možnosti Voľby> Osobné veci> Spravovať uložené heslá. Toto nie je nič nové a ak povolíte prehliadač Chrome ukladať heslá, pravdepodobne si už túto funkciu uvedomujete.
Pekný dotyk menšej bezpečnosti spočíva v tom, že musíte najprv kliknúť na tlačidlo Zobraziť vedľa každého hesla, ktoré chcete zobraziť.
Aj keď na prístup k tejto obrazovke nie je žiadne obmedzenie (tj ak máte prístup na pracovnú plochu, na ktorej je Chrome nainštalovaný, môžete sa dostať k heslám), vyžaduje sa minimálne zásah používateľa, aby ste si prezreli každé heslo bez hromadného exportu do súboru s obyčajným textom.
Kde sú uložené údaje o heslách?
Uložené údaje o heslách sú uložené v databáze SQLite, ktorá sa nachádza tu:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Používateľské dáta \ Predvolené \ Prihlasovacie údaje
Tento súbor môžete otvoriť (názov súboru je len "Prihlasovacie údaje") pomocou programu SQLite Database Browser a zobraziť tabuľku "prihlásenia", ktorá obsahuje uložené heslá. Všimnete si, že pole "heslo_hodnota" je nečitateľné, pretože hodnota je šifrovaná.
Ako sú zabezpečené šifrované dáta?
Ak chcete vykonať šifrovanie (v systéme Windows), prehliadač Chrome používa funkciu rozhrania API poskytovanú systémom Windows, ktorá spôsobuje, že šifrované dáta sú dešifrované iba používateľským účtom systému Windows, ktorý sa používa na šifrovanie hesla. Takže hlavným heslom je vaše heslo účtu Windows. Výsledkom je, že akonáhle ste sa prihlásili do systému Windows pomocou svojho účtu, tieto údaje môžu Chrome rozlíšiť.
Pretože je heslo konta systému Windows konštantné, prístup k hlavnému heslu nie je pre prehliadač Chrome exkluzívny, pretože externé nástroje sa k týmto údajom dostanú - a môžu ich dešifrovať - rovnako. Pomocou voľne dostupnej aplikácie ChromePass od spoločnosti NirSoft môžete vidieť všetky uložené údaje o heslách a ľahko ich exportovať do súboru s obyčajným textom.
Znamená to, že ak nástroj prehliadača ChromePass môže pristupovať k týmto údajom, mal malware, ktorý je spustený ako príslušný používateľ, aj k nemu. Keď sa súbor ChromePass.exe odovzdá do VirusTotal, viac ako polovica antivírusových strojov ho označuje za nebezpečnú. Zatiaľ čo v tomto prípade je pomôcka bezpečná, je trochu ubezpečujúce, že toto správanie je prinajmenšom označené mnohými AV balíčkami (hoci Microsoft Security Essentials nie je jedným z AV motorov, ktoré to označili za nebezpečné).
Môže byť ochrana obkolesená?
Predpokladajme, že počítač je odcudzený a zlodej obnoví heslo systému Windows, aby sa prihlásilo do vašej inštalácie. Ak by sa neskôr pokúsili zobraziť heslá v prehliadači Chrome alebo použiť nástroj ChromePass, údaje o heslách by neboli k dispozícii. Dôvod je jednoduchý, pretože "hlavné heslo" (ktoré bolo heslo vášho účtu Windows pred tým, ako ho silne obnovili mimo Windows) sa nezhoduje, takže dešifrovanie zlyhá.
Okrem toho, ak by niekto jednoducho skopíroval súbor databázy Chromelite SQLite a pokúsil sa ho získať na inom počítači, ChromePass by zobrazoval prázdne heslá z rovnakého dôvodu, ako to bolo vysvetlené vyššie.
záver
Na konci dňa bezpečnosť hesiel uložených v prehliadači Chrome úplne závisí od používateľa:
- Použite veľmi silné heslo účtu Windows. Majte na pamäti, že existujú nástroje, ktoré môžu dešifrovať heslá Windows. Ak niekto dostane vaše heslo účtu Windows, potom má prístup k uloženým heslám prehliadača.
- Chráňte sa pred malware. Ak pomôcky sú schopné ľahko pristupovať k vašim uloženým heslám, prečo nemôže obsahovať škodlivý softvér?
- Heslá uložte v systéme správy hesiel, ako je KeePass. Samozrejme, strácate pohodlie pri automatickom načítaní hesla prehliadača.
- Použite nástroj tretej strany, ktorý sa integruje do prehliadača Chrome a používa hlavné heslo na správu hesiel.
- Šifrujte celý pevný disk pomocou programu TrueCrypt. To je úplne voliteľné a pre ultra ochranný, ale ak niekto nemôže dešifrovať váš disk oni určite nemôžu dostať nič z toho.
Spodný riadok je jednoducho zachovať bezpečnosť vášho systému a vaše heslá prehliadača Chrome by mali byť primerane zabezpečené.
Prevezmite ChromePass od spoločnosti NirSoft
Stiahnite si SQLite Browser z Sourceforge