/ / Наскільки безпечні ваші збережені паролі веб-переглядача Chrome?

Наскільки безпечні ваші збережені паролі веб-переглядача Chrome?

зображення

Поширене запитання про браузер Google Chrome"чому немає головного пароля?" Google (неофіційно) зайняв позицію, що основний пароль забезпечує помилкове почуття безпеки, а найбільш безпечна форма захисту цих конфіденційних даних здійснюється через загальну безпеку системи.

Отже, наскільки точно захищені збережені дані пароля всередині Google Chrome?

Перегляд збережених паролів

Chrome, включає власний менеджер паролів, якийдоступний через Опції> Особисті речі> Керування збереженими паролями. Це нічого не нового, і якщо ви дозволяєте Chrome зберігати ваші паролі, ви, напевно, вже знаєте про цю функцію.

Приємним штрихом незначної безпеки є те, що спочатку потрібно натиснути кнопку показу поруч із кожним паролем, який ви хочете переглянути.

зображення

зображення

Хоча доступу до цього немаєекрана (тобто, якщо у вас є доступ до робочого столу, на якому встановлений Chrome, ви можете дістатися до паролів), необхідне принаймні втручання користувача для перегляду кожного пароля, не маючи можливості їх експортувати масово до простого текстового файлу.

Де зберігаються дані пароля?

Збережені дані пароля зберігаються в базі даних SQLite, розміщеній тут:

% UserProfile% AppDataLocalGoogleChromeUser DataDefaultLogin Data

Ви можете відкрити цей файл (назва файлу просто"Вхідні дані") за допомогою браузера SQLite Database Browser і перегляньте таблицю "входу", яка містить збережені паролі. Ви помітите, що поле "значення пароля" не читабельно, оскільки значення зашифроване.

зображення

Наскільки безпечними є зашифровані дані?

Щоб виконати шифрування (в Windows), Chromeвикористовує функцію API, надану Windows, яка робить зашифровані дані лише розшифрованими обліковим записом користувача Windows, який використовується для шифрування пароля. Таким чином, ваш головний пароль - це пароль вашого облікового запису Windows. Як результат, після входу в Windows за допомогою свого облікового запису ці дані розшифровуються Chrome.

Однак, оскільки пароль вашого облікового запису Windows єПостійний доступ до "головного пароля" не є виключним для Chrome, оскільки зовнішні утиліти можуть отримати ці дані - і розшифрувати їх - також. Використовуючи вільно доступну утиліту ChromePass від NirSoft, ви можете побачити всі збережені дані пароля та легко експортувати їх у звичайний текстовий файл.

зображення

Тож має сенс, що якщо утиліта ChromePassможе отримати доступ до цих даних, зловмисне програмне забезпечення, яке працює, оскільки відповідний користувач також може отримати доступ до них. Коли ChromePass.exe завантажується в VirusTotal, трохи більше половини антивірусних двигунів вважають це небезпечним. Хоча в цьому випадку утиліта є безпечною, трохи заспокоює бачити, що така поведінка принаймні позначена багатьма AV-пакетами (хоча Microsoft Security Essentials не є одним з AV-двигунів, які повідомили про це як про небезпечне).

зображення

Чи можна оберігати захист?

Припустимо, ваш комп’ютер викрадений і злодійскидає пароль Windows для того, щоб увійти в систему автоматично. Якщо згодом вони намагатимуться переглянути паролі в Chrome або скористатися утилітою ChromePass, дані пароля не будуть доступними. Причина проста, оскільки "головний пароль" (який був вашим паролем облікового запису Windows до того, як вони насильно скинули його за межі Windows), не відповідає тому розшифровці не вдалося.

зображення

Крім того, якби хтось просто копіювавФайл бази даних пароля Chrome SQLite і спробу отримати доступ до нього на іншому комп’ютері, ChromePass відображатиме порожні паролі з тієї ж причини, поясненої вище.

зображення

Висновок

Зрештою, безпека збережених паролів Chrome повністю залежить від користувача:

  • Використовуйте дуже сильний пароль для облікового запису Windows. Майте на увазі, є утиліти, які можуть розшифрувати паролі Windows. Якщо хтось отримує пароль вашого облікового запису Windows, він має доступ до збережених паролів веб-переглядача.
  • Захистіть себе від зловмисного програмного забезпечення. Якщо утиліти можуть легко отримати доступ до збережених паролів, чому не можна зловмисне програмне забезпечення?
  • Збережіть ваші паролі в такій системі управління паролями, як KeePass. Звичайно, ви втрачаєте зручність автоматичного заповнення паролів у веб-переглядачі.
  • Використовуйте сторонню утиліту, яка інтегрується з Chrome і використовує головний пароль для управління вашими паролями.
  • Зашифруйте весь жорсткий диск за допомогою TrueCrypt. Це абсолютно необов’язково і для ультразахисних, але якщо хтось не може розшифрувати ваш привід, він, звичайно, не може нічого з нього зняти.

Суть полягає в тому, щоб захистити вашу систему, а ваші паролі Chrome також повинні бути надійно захищеними.

Завантажте ChromePass з NirSoft

Завантажте браузер SQLite від Sourceforge

Читайте також

Як керувати збереженими паролями в Chrome
Наскільки безпечними є ваші збережені паролі Internet Explorer?
Як імпортувати збережені паролі веб-переглядача у KeePass
Як запобігти перегляду збережених паролів веб-переглядача
Чи можуть працівники Google бачити мої збережені паролі Google Chrome?
Як шукати ваші облікові записи та паролі на iPhone або iPad
Як зробити ваш веб-браузер перестати просити вас зберегти паролі
Як переглянути збережені паролі в Chrome для Android