28Jul
Μια κοινή ερώτηση σχετικά με το πρόγραμμα περιήγησης Google Chrome είναι "γιατί δεν υπάρχει κύριος κωδικός πρόσβασης"; Η Google έχει( ανεπίσημα) λάβει τη θέση ότι ένας κύριος κωδικός πρόσβασης παρέχει εσφαλμένη αίσθηση ασφάλειας και την πιο βιώσιμη μορφή προστασίας για αυτά τα ευαίσθητα δεδομέναείναι μέσω της συνολικής ασφάλειας του συστήματος.
Ποιό ακριβώς τρόπο είναι ασφαλές τα αποθηκευμένα δεδομένα κωδικού πρόσβασης μέσα στο Google Chrome;
Προβολή αποθηκευμένων κωδικών πρόσβασης
Chrome, περιλαμβάνει τον δικό του διαχειριστή κωδικών πρόσβασης ο οποίος είναι προσβάσιμος από το Επιλογές & gt;Προσωπικά στοιχεία & gt;Διαχείριση αποθηκευμένων κωδικών πρόσβασης.Αυτό δεν είναι κάτι καινούργιο και εάν επιτρέπετε στο Chrome να σας αποθηκεύσει κωδικούς πρόσβασης, πιθανότατα γνωρίζετε ήδη αυτό το χαρακτηριστικό.
Ένα ωραίο άγγιγμα της δευτερεύουσας ασφάλειας είναι ότι πρέπει πρώτα να κάνετε κλικ στο κουμπί εμφάνισης δίπλα σε κάθε κωδικό πρόσβασης που θέλετε να δείτε.
Παρόλο που δεν υπάρχει κανένας περιορισμός πρόσβασης σε αυτήν την οθόνη( δηλαδή εάν έχετε πρόσβαση στην επιφάνεια εργασίας όπου είναι εγκατεστημένο το Chrome, μπορείτε να φτάσετε στους κωδικούς πρόσβασης), απαιτείται τουλάχιστον παρέμβαση του χρήστη για να δείτε κάθε κωδικό πρόσβασης χωρίς να μπορείτε να τα εξαγάγετεμαζικά σε ένα αρχείο απλού κειμένου.
Πού αποθηκεύονται τα δεδομένα κωδικού πρόσβασης;
Τα αποθηκευμένα δεδομένα κωδικού πρόσβασης αποθηκεύονται σε μια βάση δεδομένων SQLite που βρίσκεται εδώ:
Μπορείτε να ανοίξετε αυτό το αρχείο( το όνομα αρχείου είναι απλώς "Δεδομένα σύνδεσης") χρησιμοποιώντας το SQLite Browser βάσης δεδομένων και δείτε τον πίνακα "logins" που περιέχει τους αποθηκευμένους κωδικούς πρόσβασης.Θα παρατηρήσετε ότι το πεδίο "password_value" είναι δυσανάγνωστο επειδή η τιμή είναι κρυπτογραφημένη.
Πόσο ασφαλή είναι τα κρυπτογραφημένα δεδομένα;
Για να εκτελέσετε την κρυπτογράφηση( στα Windows), το Chrome χρησιμοποιεί μια λειτουργία API που παρέχεται από τα Windows, η οποία καθιστά τα κρυπτογραφημένα δεδομένα αποκρυπτογραφούμενα μόνο από τον λογαριασμό χρήστη των Windows που χρησιμοποιείται για την κρυπτογράφηση του κωδικού πρόσβασης.Έτσι, ουσιαστικά, ο κύριος κωδικός πρόσβασης είναι ο κωδικός πρόσβασης λογαριασμού των Windows.Ως αποτέλεσμα, μόλις συνδεθείτε στα Windows χρησιμοποιώντας το λογαριασμό σας, αυτά τα δεδομένα μπορούν να αποκρυπτογραφηθούν από το Chrome.
Ωστόσο, επειδή ο κωδικός πρόσβασης των λογαριασμών των Windows είναι σταθερός, η πρόσβαση στον "κύριο κωδικό πρόσβασης" δεν είναι αποκλειστική για το Chrome, καθώς τα εξωτερικά βοηθητικά προγράμματα μπορούν να φτάσουν σε αυτά τα δεδομένα - και να τα αποκρυπτογραφήσουν - επίσης.Χρησιμοποιώντας το ελεύθερα διαθέσιμο βοηθητικό πρόγραμμα ChromePass από τη NirSoft, μπορείτε να δείτε όλα τα αποθηκευμένα δεδομένα κωδικού πρόσβασης και να τα εξαγάγετε εύκολα σε ένα αρχείο απλού κειμένου.
Επομένως, έχει νόημα ότι εάν το βοηθητικό πρόγραμμα ChromePass μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα, το κακόβουλο πρόγραμμα που εκτελείται ως αντίστοιχος χρήστης μπορεί να έχει πρόσβαση και σε αυτό.Όταν το ChromePass.exe μεταφορτωθεί στο VirusTotal, λίγο περισσότερο από το ήμισυ των μηχανών προστασίας από ιούς το σημαίνουν ως επικίνδυνο.Ενώ σε αυτήν την περίπτωση το βοηθητικό πρόγραμμα είναι ασφαλές, είναι λίγο καθησυχαστικό να διαπιστώσετε ότι αυτή η συμπεριφορά είναι τουλάχιστον σημασμένη από πολλά πακέτα AV( αν και το Microsoft Security Essentials δεν είναι μία από τις μηχανές AV που το ανέφεραν ως επικίνδυνο).
Μπορεί η προστασία να παρακαμφθεί;
Ας υποθέσουμε ότι ο υπολογιστής σας έχει κλαπεί και ο κλέφτης επαναφέρει τον κωδικό πρόσβασης των Windows για να συνδεθεί εγγενώς στην εγκατάσταση σας.Αν στη συνέχεια προσπαθούσαν να δουν τους κωδικούς πρόσβασης στο Chrome ή να χρησιμοποιήσουν το βοηθητικό πρόγραμμα ChromePass, τα δεδομένα κωδικού πρόσβασης δεν θα ήταν διαθέσιμα.Ο λόγος είναι απλός, καθώς ο "κύριος κωδικός πρόσβασης"( ο οποίος ήταν ο κωδικός πρόσβασης των Windows που χρησιμοποιείτε πριν από την επαναφορά του έξω έξω από τα Windows) δεν ταιριάζει, οπότε η αποκρυπτογράφηση αποτυγχάνει.
Επιπλέον, αν κάποιος απλά αντιγράψει το αρχείο βάσης δεδομένων SQLite του SQLite και προσπαθήσει να το αποκτήσει πρόσβαση σε άλλον υπολογιστή, το ChromePass θα εμφανίσει άδειους κωδικούς πρόσβασης για τον ίδιο λόγο που εξηγείται παραπάνω.
Συμπεράσματα
Στο τέλος της ημέρας, η ασφάλεια των αποθηκευμένων κωδικών πρόσβασης Chrome εξαρτάται απόλυτα από τον χρήστη:
- Χρησιμοποιήστε έναν πολύ ισχυρό κωδικό πρόσβασης λογαριασμού των Windows.Λάβετε υπόψη σας ότι υπάρχουν βοηθητικές εφαρμογές οι οποίες μπορούν να αποκρυπτογραφήσουν τους κωδικούς πρόσβασης των Windows.Εάν κάποιος αποκτήσει τον κωδικό πρόσβασης λογαριασμού των Windows, τότε έχουν πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης του προγράμματος περιήγησης.
- Προστατεύστε τον εαυτό σας από κακόβουλο λογισμικό.Εάν τα βοηθητικά προγράμματα είναι σε θέση να έχουν εύκολη πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης, γιατί δεν μπορούν να χρησιμοποιηθούν κακόβουλα προγράμματα;
- Αποθηκεύστε τους κωδικούς πρόσβασής σας σε ένα σύστημα διαχείρισης κωδικών πρόσβασης, όπως το KeePass.Φυσικά, χάνετε την ευκολία του να έχετε το πρόγραμμα περιήγησης να συμπληρώνει αυτόματα τους κωδικούς πρόσβασής σας.
- Χρησιμοποιήστε ένα βοηθητικό πρόγραμμα τρίτου μέρους το οποίο ενσωματώνεται στο Chrome και χρησιμοποιεί έναν κύριο κωδικό πρόσβασης για τη διαχείριση των κωδικών πρόσβασης.
- Κρυπτογράφηση ολόκληρου του σκληρού σας δίσκου χρησιμοποιώντας το TrueCrypt.Αυτό είναι εντελώς προαιρετικό και για την εξαιρετικά προστατευτική, αλλά αν κάποιος δεν μπορεί να αποκρυπτογραφήσει το αυτοκίνητό σας σίγουρα δεν μπορεί να πάρει τίποτα μακριά από αυτό.
Η κατώτατη γραμμή είναι απλά να διατηρήσετε το σύστημά σας ασφαλή και οι κωδικοί πρόσβασης του Chrome θα πρέπει να είναι σχετικά ασφαλείς επίσης.
Κατεβάστε το ChromePass από το NirSoft
Κατεβάστε το SQLite Browser από το Sourceforge