28Jul

Mennyire biztonságosak a mentett Chrome-böngésző jelszavai?

kép

Egy általános kérdés a Google Chrome böngészővel kapcsolatban: "Miért nincs master jelszó?" A Google( hivatalosan) olyan helyzetben volt, hogy a fő jelszó hamis biztonságérzetet és a legérzékenyebb védelmi formát biztosít ezen érzékeny adatok számáraa teljes rendszerbiztonság révén valósul meg.

Pontosan milyen biztonságos a Google Chrome-ban tárolt jelszóadatok?

Mentett jelszavak megtekintése

A Chrome saját jelszókezelővel rendelkezik, amely elérhető az Opciók & gt;Személyes dolgok & gt;Az elmentett jelszavak kezelése. Ez nem új, és ha engedélyezi a Chrome számára jelszavak tárolását, akkor valószínűleg már ismeri ezt a funkciót.

A kisebb biztonság kedvéért meg kell először kinyitnia a megtekinteni kívánt jelszó melletti mutatót.

kép

kép

Annak ellenére, hogy nincs korlátozás a képernyő eléréséhez( pl. Ha eléred az asztalra, ahol a Chrome telepítve van, akkor a jelszavakhoz juthat), legalábbis a felhasználó beavatkozása szükséges az egyes jelszavak megtekintéséhez,ömlesztve egy egyszerű szöveges fájlhoz.

Hol van a jelszóadat tárolva?

A mentett jelszóadatok itt található egy SQLite adatbázisban:

% UserProfile% \ AppData \ Helyi \ Google \ Chrome \ User Data \ Default \ Bejelentkezés adatok

Megnyithatja ezt a fájlt( a fájlnév csak "Login Data") az SQLite Database Browser használatával, és megtekintheti a mentett jelszavakat tartalmazó "bejelentkezési" táblázatot.Észre fogja venni, hogy a "password_value" mező olvashatatlan, mert az érték titkosítva van.

kép

Mennyire biztonságos a titkosított adatok?

A titkosítás végrehajtásához( Windows rendszeren) a Chrome olyan Windows által biztosított API funkciót használ, amely a titkosított adatokat csak a jelszó titkosításához használt Windows felhasználói fiókkal tudja megfejteni. Tehát lényegében a fő jelszava a Windows-fiók jelszava. Ennek eredményeképpen, miután a fiókod segítségével bejelentkezett a Windows rendszerbe, az adatokat a Chrome kitalálhatja.

Mivel azonban a Windows-fiókod jelszava állandó, a "fő jelszó" elérése nem kizárólagos a Chrome-ra, mivel a külső segédprogramok is hozzáférhetnek ezekhez az adatokhoz - és visszafejtik is. A NirSoft által a szabadon elérhető segédprogram ChromePass segítségével láthatja az összes mentett jelszóadatot, és egyszerűen exportálhatja egy egyszerű szöveges fájlba.

kép

Tehát érthető, hogy ha a ChromePass segédprogram hozzáférhet ezekhez az adatokhoz, a megfelelő felhasználónak futó rosszindulatú programok is hozzáférhetnek hozzá.Amikor a ChromePass.exe fel van töltve a VirusTotalba, az antivírus motorok több mint fele jelzi, hogy veszélyes. Bár ebben az esetben a segédprogram biztonságos, kissé megnyugtató látni, hogy ezt a viselkedést legalábbis az AV csomagok közül sokan jelzik( bár a Microsoft Security Essentials nem egy olyan AV-motor, amely veszélyesnek nyilvánította).

kép

Megkerülhető-e a védelem?

Tegyük fel, hogy számítógépét ellopták és a tolvaj visszaállítja a Windows jelszavát, hogy natívan bejelentkezhessen a telepítésre. Ha később megpróbálják megtekinteni a Chrome-jelszavakat, vagy a ChromePass segédprogramot használja, akkor a jelszóadatok nem lesznek elérhetők. Az ok egyszerű, mivel a "fő jelszó"( amelyik a Windows-jelszava volt, mielőtt erőszakosan visszaállította volna a Windows rendszeren kívül) nem egyezik, így a visszafejtés sikertelen.

kép

Továbbá, ha valaki egyszerűen átmásolja a Chrome jelszó SQLite adatbázis fájlját, és megkísérli elérni azt egy másik számítógépen, akkor a ChromePass ugyanazért a fentiekben ismertetett okból megjelenítené az üres jelszavakat.

kép

Következtetés

A nap végén a Chrome által elmentett jelszavak biztonsága teljes mértékben a felhasználótól függ:

  • Használjon nagyon erős Windows-fiók jelszavát. Ne feledje, vannak segédprogramok, amelyek megfejthetik a Windows jelszavakat. Ha valaki megkapja a Windows-fiók jelszavát, akkor hozzáféréssel rendelkezik a mentett böngésző jelszavaihoz.
  • Védje magát a rosszindulatú programoktól. Ha a segédprogramok könnyen hozzáférhetnek a mentett jelszavakhoz, miért nem tud rosszindulatú programot létrehozni?
  • Mentse el a jelszavakat olyan jelszókezelő rendszerben, mint a KeePass. Természetesen Ön elveszíti a kényelmet, ha a böngésző automatikusan kitölti a jelszavát.
  • Használjon egy harmadik féltől származó segédprogramot, amely a Chrome-hoz integrál és fő jelszót használ a jelszavak kezeléséhez.
  • Az egész merevlemezt titkosítsa a TrueCrypt segítségével. Ez teljesen opcionális és az ultra védő, de ha valaki nem tudja visszafejteni a meghajtót, akkor biztosan nem tud semmit levonni róla.

Az alsó sor egyszerűen a rendszer biztonságának megőrzésére szolgál, és a Chrome-jelszavainak ésszerűen biztonságosnak kell lenniük is.

Letöltés ChromePass a NirSoft

-ből Letöltés SQLite böngésző a Sourceforge

-ből