כמה מאובטחות סיסמאות הדפדפן שלך ב- Chrome?

שאלה נפוצה לגבי דפדפן Google Chromeהאם "מדוע אין סיסמת אב?" גוגל נקטה (באופן לא רשמי) בעמדה כי סיסמת אב מספקת תחושת ביטחון כוזבת וצורת ההגנה הבטוחה ביותר עבור נתונים רגישים זה היא באמצעות אבטחת מערכת כוללת.

אז עד כמה מאובטחים נתוני הסיסמה השמורים שלך ב- Google Chrome?

הצגת סיסמאות שמורות

Chrome כולל מנהל סיסמאות משלו אשרנגיש דרך אפשרויות> דברים אישיים> ניהול סיסמאות שמורות. זה לא חדש ואם תאפשר ל- Chrome לאחסן סיסמאות, כנראה שאתה כבר מודע לתכונה זו.

נגיעה נחמדה של אבטחה מינורית היא שעליך ללחוץ תחילה על כפתור ההצגה שליד כל סיסמא שתרצה להציג.

אמנם אין הגבלה לגישה לכךהמסך (כלומר אם יש לך גישה לשולחן העבודה בו מותקן Chrome, אתה יכול להגיע לסיסמאות), יש לפחות התערבות של משתמשים כדי להציג כל סיסמה ללא דרך לייצא אותם בתפזורת לקובץ טקסט רגיל.

היכן מאוחסנים נתוני הסיסמה?

נתוני הסיסמה השמורים נשמרים בבסיס נתונים של SQLite שנמצא כאן:

אתה יכול לפתוח קובץ זה (שם הקובץ הוא סתם"נתוני כניסה") באמצעות דפדפן מסדי הנתונים של SQLite וצפו בטבלת "הכניסה" שמכילה את הסיסמאות השמורות. תבחין בשדה "password_value" אינו ניתן לקריאה מכיוון שהערך מוצפן.

כמה מאובטח הנתונים המוצפנים?

כדי לבצע את ההצפנה (ב- Windows), Chromeמשתמש בפונקציית API המסופקת על ידי Windows ההופכת את הנתונים המוצפנים לפענחים רק על ידי חשבון המשתמש של Windows המשמש להצפנת הסיסמה. אז בעצם, סיסמת האב שלך היא סיסמת חשבון Windows שלך. כתוצאה מכך, ברגע שאתה מחובר לחלונות באמצעות חשבונך נתונים אלה ניתנים לפענוח על ידי Chrome.

עם זאת, מכיוון שסיסמת חשבון Windows שלך היאגישה קבועה ל"סיסמת המאסטר "אינה בלעדית ל- Chrome מאחר וכלי שירות חיצוניים יכולים להגיע לנתונים אלה - ולפענח אותם - גם כן. בעזרת כלי השירות ChromePass הזמין בחינם על ידי NirSoft, אתה יכול לראות את כל נתוני הסיסמה השמורים שלך ולייצא אותם בקלות לקובץ טקסט רגיל.

אז הגיוני שאם כלי ChromePassיכול לגשת לנתונים אלה, זדוניות הפועלות כיוון שהמשתמש המתאים יכול גם לגשת אליו. כאשר ChromePass.exe מועלה ל- VirusTotal, קצת יותר ממחצית מנועי האנטי-וירוס מסמנים אותו כמסוכן. בעוד שבמקרה זה השירות הוא בטוח, זה קצת מרגיע לראות שהתנהגות זו מסומנת לכל הפחות על ידי רבים מחבילות AV (למרות שמערכת האבטחה של מיקרוסופט איננה אחד מנועי ה- AV שדיווחו על כך כמסוכנת).

האם ניתן לעקוף את ההגנה?

נניח שהמחשב שלך נגנב והגנבמאפס את סיסמת Windows שלך בכדי להיכנס באופן טבעי להתקנה שלך. אם לאחר מכן ינסו להציג את הסיסמאות ב- Chrome או להשתמש בכלי השירות ChromePass, נתוני הסיסמה לא יהיו זמינים. הסיבה היא פשוטה שכן "סיסמת האב" (שהייתה סיסמת חשבון Windows שלך לפני שאיפוס אותה בכוח מחוץ ל- Windows) אינה תואמת כך שהפענוח נכשל.

בנוסף, אם מישהו היה פשוט להעתיק את ה-סיסמת Chrome SQLite קובץ מסד נתונים ולנסות לגשת אליו במחשב אחר, ChromePass יציג סיסמאות ריקות מאותה סיבה שהוסבר לעיל.

סיכום

בסופו של יום, האבטחה של הסיסמאות השמורות של Chrome תלויה לחלוטין המשתמש:

• השתמש בסיסמת חשבון Windows חזקה מאוד. זכור, ישנם כלי עזר שיכולים לפענח את סיסמאות Windows. אם מישהו מקבל את סיסמת חשבון Windows שלך, יש לו גישה לסיסמאות הדפדפן ששמרת.
• הגן על עצמך מפני תוכנות זדוניות. אם כלי עזר יכולים לגשת בקלות לסיסמאות השמורות שלך, מדוע אינך יכול לתוכנות זדוניות?
• שמור את הסיסמאות שלך במערכת לניהול סיסמאות כגון KeePass. כמובן שאתה מאבד את הנוחות שבדפדפן ימלא את הסיסמאות שלך באופן אוטומטי.
• השתמש בכלי צד שלישי שמשתלב עם Chrome ומשתמש בסיסמת אב לניהול הסיסמאות שלך.
• הצפן את כל הכונן הקשיח שלך באמצעות TrueCrypt. זה אופציונאלי לחלוטין ולמגן במיוחד, אך אם מישהו לא יכול לפענח את הכונן שלך הוא בטח לא יכול להפסיק ממנו שום דבר.

השורה התחתונה היא פשוט לשמור על אבטחת המערכת וגם סיסמאות Chrome שלך ​​צריכות להיות מאובטחות באופן סביר.

הורד את ChromePass מ- NirSoft

הורד את דפדפן SQLite מ- Sourceforge