28Jul
Et almindeligt spørgsmål om Google Chrome-browseren er "hvorfor er der ikke et hovedadgangskode?" Google har( uofficielt) taget stilling til, at et hovedadgangskode giver en falsk følelse af sikkerhed og den mest anvendelige form for beskyttelse af denne følsomme dataer gennem generel system sikkerhed.
Så præcis hvor sikker er dine gemte adgangskode data inde i Google Chrome?
Visning af gemte adgangskoder
Chrome, indeholder sin egen adgangskodeadministrator, som er tilgængelig via Valg & gt;Personlige ting & gt;Administrer gemte adgangskoder. Dette er ikke noget nyt, og hvis du tillader, at Chrome gemmer dine adgangskoder, er du sikkert allerede klar over denne funktion.
En fin touch af mindre sikkerhed er, at du først skal klikke på showknappen ud for hver adgangskode, du vil se.
Selvom der ikke er nogen begrænsning for at få adgang til denne skærm( dvs. hvis du har adgang til skrivebordet, hvor Chrome er installeret, kan du komme til adgangskoderne), er der i det mindste behov for brugerintervention for at få vist hver adgangskode, uden at det kan eksporteresbulk til en almindelig tekstfil.
Hvor er adgangskode data gemt?
De gemte adgangskode data gemmes i en SQLite database, der findes her:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Brugerdata \ Standard \ Login Data
Du kan åbne denne fil( filnavnet er kun "Login Data") ved hjælp af SQLite Database Browser og se "logins" tabellen, der indeholder de gemte adgangskoder. Du vil bemærke, at feltet "password_value" er ulæseligt, fordi værdien er krypteret.
Hvor sikker er de krypterede data?
For at udføre krypteringen( på Windows) bruger Chrome en Windows-API-funktion, der gør det muligt kun at kryptere de krypterede data af den Windows-brugerkonto, der bruges til at kryptere adgangskoden. Så stort set er dit hovedadgangskode din Windows-adgangskode. Som følge heraf, når du er logget ind på Windows ved hjælp af din konto, kan disse data deklareres af Chrome.
Da din Windows-adgangskode er konstant, er adgangen til "master password" ikke eksklusiv til Chrome, da eksterne værktøjer kan komme til disse data - og dekryptere det - så godt. Ved at bruge det frit tilgængelige værktøj ChromePass fra NirSoft kan du se alle dine gemte adgangskode data og nemt eksportere den til en almindelig tekstfil.
Så det er fornuftigt, at hvis ChromePass-hjælpeprogrammet har adgang til disse data, kan malware, der kører som den respektive bruger, også få adgang til det. Når ChromePass.exe er uploadet til VirusTotal, markerer over halvdelen af antivirusviruserne det som farligt. Selvom dette er nyttigt, er det lidt beroligende at se, at denne adfærd mindst er markeret af mange AV-pakker( selv om Microsoft Security Essentials ikke er en af AV-motorerne, der rapporterede det som farligt).
Kan beskyttelsen blive omgået?
Antag, at din computer er stjålet, og tyven nulstiller din Windows-adgangskode for at kunne logge ind på din installation. Hvis de senere skulle forsøge at se adgangskoderne i Chrome eller bruge ChromePass-hjælpeprogrammet, ville adgangskodeoplysningerne ikke være tilgængelige.Årsagen er simpel, da "hovedadgangskoden"( som var din Windows-adgangskode, før de kraftigt nulstillede den uden for Windows), stemmer ikke overens, så dekrypteringen mislykkes.
Hvis nogen blot skulle kopiere Chrome-adgangskode SQLite-databasefilen og forsøge at få adgang til den på en anden computer, ville ChromePass vise tomme adgangskoder af samme grund som forklaret ovenfor.
Konklusion
I slutningen af dagen afhænger sikkerheden af de Chrome-gemte adgangskoder helt på brugeren:
- Brug en meget stærk Windows-adgangskode. Husk, at der er værktøjer, der kan dechiffrere Windows-adgangskoder. Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte browseradgangskoder.
- Beskyt dig mod malware. Hvis værktøjerne nemt kan få adgang til dine gemte adgangskoder, hvorfor kan ikke malware?
- Gem dine adgangskoder i et kodeordstyringssystem som KeePass. Selvfølgelig mister du bekvemmeligheden ved at have browseren automatisk udfyld dine adgangskoder.
- Brug et 3rd party-værktøj, som integreres med Chrome og bruger en masteradgangskode til at administrere dine adgangskoder.
- Krypter hele din harddisk ved hjælp af TrueCrypt. Dette er helt valgfrit og for ultra-beskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de sikkert ikke få noget ud af det.
Bundlinjen er simpelthen for at holde dit system sikkert, og dine Chrome-adgangskoder skal også være rimeligt sikre.
Download ChromePass fra NirSoft
Hent SQLite Browser fra Sourceforge