28Jul
Obvyklá otázka týkající se prohlížeče Google Chrome je "proč neexistuje hlavní heslo?" Společnost Google( neoficiálně) zaujala stanovisko, že hlavní heslo poskytuje falešný pocit bezpečí a nejvíce životaschopnou formu ochrany pro tato citlivá dataje prostřednictvím celkové bezpečnosti systému.
Tak přesně jak bezpečně jsou uložená data o heslech uvnitř prohlížeče Google Chrome?
Prohlížení uložených hesel
Chrome obsahuje vlastní správce hesel, který je dostupný prostřednictvím možnosti & gt;Osobní věci & gt;Správa uložených hesel. Není to nic nového a povolujete-li Chrome ukládání hesel, pravděpodobně již tuto funkci znáte.
Pěkný dotek menší bezpečnosti je, že musíte nejprve kliknout na tlačítko Zobrazit vedle každého hesla, které chcete zobrazit.
Zatímco pro přístup k této obrazovce není žádné omezení( tj. Pokud máte přístup na pracovní plochu, kde je Chrome nainstalován, můžete se dostat k heslům), je nutné minimálně zásah uživatele, aby bylo možné zobrazit každé heslo, aniž by bylo možné je exportovathromadně do souboru prostého textu.
Kde jsou uložena hesla?
Uložená hesla jsou uložena v databázi SQLite, která se nachází zde:
Tento soubor můžete otevřít( název souboru je pouze "Přihlašovací údaje") pomocí prohlížeče SQLite Database Browser a zobrazte tabulku "přihlašovací údaje", která obsahuje uložená hesla. Všimnete si, že pole "password_value" je nečitelné, protože hodnota je zašifrována.
Jak jsou zabezpečené šifrované údaje?
Chcete-li provést šifrování( ve Windows), Chrome používá funkci rozhraní API poskytovanou systémem Windows, díky čemuž šifrované údaje mohou být dešifrovány pouze uživatelským účtem systému Windows používaným k šifrování hesla. V podstatě je vaše hlavní heslo vaše heslo účtu Windows. Výsledkem je, že jakmile jste přihlášeni do systému Windows pomocí svého účtu, tato data je Chrome rozpoznatelná.
Ovšem proto, že je heslo konta systému Windows konstantní, přístup k "hlavnímu heslu" není pro prohlížeč Chrome exkluzivní, protože se k těmto datům mohou dostat i externí nástroje a dešifrovat je. Pomocí volně dostupného nástroje ChromePass od společnosti NirSoft můžete vidět všechna uložená data hesla a snadno je exportovat do souboru prostého textu.
Takže má smysl, že pokud nástroj ChromePass může přistupovat k těmto datům, může k němu přistupovat i malware běžící jako příslušný uživatel. Když je soubor ChromePass.exe odovzdán do VirusTotal, více než polovina antivirových strojů ji označuje za nebezpečnou. Zatímco v tomto případě je tento nástroj bezpečný, je trochu uklidňující, že toto chování je přinejmenším označeno mnoha balíčky AV( ačkoli Microsoft Security Essentials není jedním z AV motorů, které ho označují za nebezpečné).
Může být ochrana obklíčena?
Předpokládejme, že je počítač ukraden a zloděj resetuje heslo systému Windows, aby se přihlásilo k vaší instalaci. Pokud by se následně pokoušeli zobrazit hesla v prohlížeči Chrome nebo používat nástroj ChromePass, údaje o heslech by nebyly k dispozici. Důvod je jednoduchý, jelikož "hlavní heslo"( což bylo vaše heslo účtu Windows předtím, než je silně resetuje mimo Windows) neodpovídá, takže dešifrování selže.
Navíc, pokud by někdo jednoduše zkopíroval databázový soubor SQLite SQLite a pokusil se jej získat přístup na jiném počítači, ChromePass by zobrazoval prázdná hesla ze stejného důvodu, jak je vysvětleno výše.
Závěr
Na konci dne zabezpečení hesel uložených v Chromu zcela závisí na uživateli:
- Použijte velmi silné heslo účtu Windows. Mějte na paměti, že existují nástroje, které mohou dešifrovat hesla systému Windows. Pokud někdo dostane heslo k účtu Windows, pak má přístup k uloženým heslám prohlížeče.
- Chraňte se před malwarem. Jsou-li nástroje schopny snadno přistupovat k uloženým heslům, proč nemůže být malware?
- Uložte hesla do systému správy hesel, jako je KeePass. Samozřejmě, ztrácíte pohodlí tím, že prohlížeč automaticky zaplní vaše hesla.
- Použijte nástroj třetí strany, který se integruje do prohlížeče Chrome a pro správu hesel použije hlavní heslo.
- Šifrování celého pevného disku pomocí programu TrueCrypt. To je zcela volitelné a pro ultra ochranný, ale pokud někdo nemůže dešifrovat váš disk, jistě nemůže dostat nic z toho.
Spodním řádkem je jednoduše udržet systém bezpečný a vaše hesla prohlížeče Chrome by měly být přiměřeně zabezpečeny.
Stáhnout aplikaci ChromePass od společnosti NirSoft
Stáhnout SQLite Browser ze zdroje Sourceforge