Колко сигурни са вашите запазени пароли за браузъра на Chrome?
Често срещан въпрос за браузъра на Google Chrome е „защо няма главна парола?“ Google (неофициално) прие позицията, че главната парола осигурява фалшиво чувство за сигурност и най-жизнеспособната форма на защита на тези чувствителни данни е чрез цялата сигурност на системата.
Точно колко сигурни са данните за запазените ви пароли в Google Chrome?
Преглед на записаните пароли
Chrome включва собствен мениджър на пароли, който е достъпен чрез Опции> Лични неща> Управление на запазените пароли. Това не е нищо ново и ако позволите на Chrome да съхранява пароли, вероятно вече знаете за тази функция.
Приятно докосване на минималната сигурност е, че първо трябва да кликнете върху бутона за показване до всяка парола, която искате да видите.
Въпреки че няма ограничения за достъп до този екран (т.е. ако имате достъп до работния плот, на който е инсталиран Chrome, можете да стигнете до паролите), необходима е поне намеса на потребителя, за да видите всяка парола, без начин да ги експортирате насипно към обикновен текстов файл.
Къде се съхраняват паролите?
Запазените данни за пароли се съхраняват в SQLite база данни, намираща се тук:
% UserProfile% AppData Локални данни на Google за Chrome По подразбиране Входни данни
Можете да отворите този файл (името на файла е само „Login Data“), използвайки SQLite Database Browser и да видите таблицата „logins“, която съдържа запаметените пароли. Ще забележите, че полето "password_value" е нечетливо, защото стойността е криптирана.
Колко защитени са криптираните данни?
За да извършите криптирането (в Windows), Chrome използва функцията за предоставяне на Windows, която осигурява шифрованите данни само за дешифриране от потребителския акаунт на Windows, използван за шифроване на паролата. Така че по същество, вашата главна парола е вашата парола за сметка на Windows. В резултат на това, след като сте влезли в Windows, като използвате профила си, тези данни се дешифрират от Chrome.
Въпреки това, тъй като паролата за профила ви в Windows е постоянна, достъпът до „главната парола“ не е изключителен само за Chrome, тъй като външните програми могат да стигнат до тези данни - и да го декриптират. Използвайки свободно достъпната помощна програма ChromePass от NirSoft, можете да видите всичките си запазени паролни данни и лесно да ги експортирате в обикновен текстов файл.
Така че има смисъл, че ако помощната програма на ChromePass има достъп до тези данни, зловредният софтуер се стартира, тъй като съответният потребител също може да има достъп до него. Когато ChromePass.exe е качен в VirusTotal, малко повече от половината от антивирусните двигатели я маркират като опасни. Докато в този случай полезността е безопасна, е малко успокояващо да се види, че това поведение най-малкото е сигнализирано от много AV пакети (въпреки че Microsoft Security Essentials не е един от AV двигателите, които са го докладвали като опасни)..
Може ли защитата да бъде заобиколена?
Да предположим, че вашият компютър е откраднат и крадецът нулира паролата ви за Windows, за да влезете поначало във вашата инсталация. Ако впоследствие ще се опитат да видят паролите в Chrome или да използват помощната програма ChromePass, данните за паролата няма да са налице. Причината е проста, тъй като „главната парола“ (която е паролата за профила ви в Windows, преди да я пренастрои извън Windows) не съответства, така че дешифрирането да се провали.
Освен това, ако някой просто копира файла с базата данни с парола на Chrome и се опита да го отвори на друг компютър, ChromePass ще покаже празни пароли по същата причина, обяснена по-горе.
заключение
В края на деня сигурността на запазените в Chrome пароли зависи изцяло от потребителя:
- Използвайте много силна парола за сметка на Windows. Имайте предвид, че има помощни програми, които могат да дешифрират паролите за Windows. Ако някой получи паролата за профила ви в Windows, те имат достъп до запазените ви пароли за браузъра.
- Защитете се от злонамерен софтуер. Ако комуналните услуги имат лесен достъп до запаметените си пароли, защо не могат да бъдат злонамерени програми?
- Запазете паролите си в система за управление на пароли като KeePass. Разбира се, вие губите удобството да накарате браузъра автоматично да попълва вашите пароли.
- Използвайте помощна програма на трета страна, която се интегрира с Chrome и използва главна парола за управление на паролите.
- Шифровайте целия твърд диск с TrueCrypt. Това е напълно незадължително и за ултра-защитните, но ако някой не може да декриптира вашето устройство, те със сигурност не могат да получат нищо от него.
Долната линия е просто да поддържате системата си сигурна и паролите ви за Chrome да са достатъчно сигурни.
Изтеглете ChromePass от NirSoft
Изтеглете SQLite Browser от Sourceforge