28Jul

Quel est le degré de sécurité de vos mots de passe de navigateur Chrome enregistrés?

image

Une question fréquente concernant le navigateur Google Chrome est "Pourquoi n'y a-t-il pas de mot de passe principal?" Google a adopté( officieusement) le fait qu'un mot de passe principal fournissait un faux sentiment de sécurité et la forme la plus viable de protectionest à travers la sécurité globale du système.

Alors, à quel point vos données de mot de passe sauvegardées dans Google Chrome sont-elles sécurisées?

Affichage des mots de passe enregistrés

Chrome, comprend son propre gestionnaire de mot de passe qui est accessible via Options & gt;Stuff personnel & gt;Gérer les mots de passe enregistrésCe n'est pas nouveau et si vous autorisez Chrome à stocker vos mots de passe, vous êtes probablement déjà au courant de cette fonctionnalité.

Une bonne touche de sécurité mineure est que vous devez d'abord cliquer sur le bouton show à côté de chaque mot de passe que vous voulez voir.

image

image

Bien qu'il n'y ait aucune restriction pour accéder à cet écran( si vous avez accès au bureau sur lequel Chrome est installé, vous pouvez accéder aux mots de passe), il y a au moins intervention de l'utilisateur pour voir chaque mot de passe sans aucun moyen de les exporter.en masse dans un fichier texte brut.

Où sont stockées les données de mot de passe?

Les données de mot de passe enregistrées sont stockées dans une base de données SQLite située ici:

% UserProfile% \ AppData \ Local \ Google \ Chrome \ Données utilisateur \ Par défaut \ Données de connexion

Vous pouvez ouvrir ce fichier( le nom de fichier est simplement "Données de connexion") en utilisant SQLite Database Browser et afficher la table "logins" qui contient les mots de passe enregistrés. Vous remarquerez que le champ "password_value" est illisible car la valeur est chiffrée.

image

Quelle est la sécurité des données chiffrées?

Pour effectuer le cryptage( sous Windows), Chrome utilise une fonction d'API fournie par Windows qui rend les données cryptées uniquement déchiffrables par le compte d'utilisateur Windows utilisé pour crypter le mot de passe. Donc, essentiellement, votre mot de passe principal est le mot de passe de votre compte Windows. Par conséquent, une fois que vous êtes connecté à Windows à l'aide de votre compte, ces données sont déchiffrables par Chrome.

Toutefois, étant donné que le mot de passe de votre compte Windows est une constante, l'accès au «mot de passe principal» n'est pas exclusif à Chrome, car les utilitaires externes peuvent également accéder à ces données et les déchiffrer. En utilisant l'utilitaire gratuit ChromePass de NirSoft, vous pouvez voir toutes vos données de mot de passe enregistrées et les exporter facilement dans un fichier texte.

image

Il est donc logique que si l'utilitaire ChromePass peut accéder à ces données, les logiciels malveillants s'exécutant en tant qu'utilisateur respectif peuvent également y accéder. Lorsque le ChromePass.exe est téléchargé sur VirusTotal, un peu plus de la moitié des moteurs antivirus le signalent comme dangereux. Alors que dans ce cas l'utilitaire est sûr, il est un peu rassurant de voir que ce comportement est au moins signalé par de nombreux paquets AV( bien que Microsoft Security Essentials ne soit pas un des moteurs AV qui l'a signalé comme dangereux).

image

La protection peut-elle être contournée?

Supposons que votre ordinateur soit volé et que le voleur réinitialise votre mot de passe Windows afin de vous connecter de manière native à votre installation. Si elles devaient par la suite essayer d'afficher les mots de passe dans Chrome ou utiliser l'utilitaire ChromePass, les données de mot de passe ne seraient pas disponibles. La raison en est simple: le "mot de passe principal"( qui était le mot de passe de votre compte Windows avant de le réinitialiser de force en dehors de Windows) ne correspond pas donc le décryptage échoue.

image

En outre, si quelqu'un devait simplement copier le fichier de base de données SQLite de mot de passe Chrome et essayer d'y accéder sur un autre ordinateur, ChromePass afficherait des mots de passe vides pour la même raison expliquée ci-dessus.

image

Conclusion

A la fin de la journée, la sécurité des mots de passe enregistrés dans Chrome dépend totalement de l'utilisateur:

  • Utilisez un mot de passe de compte Windows très fort. Gardez à l'esprit qu'il existe des utilitaires capables de déchiffrer les mots de passe Windows. Si quelqu'un obtient le mot de passe de votre compte Windows, il a accès aux mots de passe de votre navigateur.
  • Protégez-vous contre les logiciels malveillants. Si les utilitaires sont en mesure d'accéder facilement à vos mots de passe enregistrés, pourquoi ne pas les logiciels malveillants?
  • Sauvegardez vos mots de passe dans un système de gestion de mot de passe tel que KeePass. Bien sûr, vous perdez la commodité d'avoir le navigateur remplir automatiquement vos mots de passe.
  • Utilisez un utilitaire tiers qui s'intègre à Chrome et utilise un mot de passe principal pour gérer vos mots de passe.
  • Cryptez votre disque dur entier en utilisant TrueCrypt. Ceci est complètement optionnel et pour l'ultra protection, mais si quelqu'un ne peut pas décrypter votre disque, ils ne peuvent certainement rien en retirer.

L'essentiel est simplement de garder votre système sécurisé et vos mots de passe Chrome doivent également être raisonnablement sécurisé.

Télécharger ChromePass à partir de NirSoft

Télécharger SQLite Browser à partir de Sourceforge