28Jul

Hvor sikker er de lagrede Chrome-nettleserpassordene dine?

click fraud protection

bilde

Et vanlig spørsmål om Google Chrome-nettleseren er "Hvorfor er det ikke et hovedpassord?" Google har( uoffisielt) tatt posisjonen om at et hovedpassord gir en falsk følelse av sikkerhet og den mest brukbare form for beskyttelse for denne sensitive dataer gjennom generell system sikkerhet.

Så nøyaktig hvor sikker er de lagrede passorddataene dine inne i Google Chrome?

Vise lagrede passord

Chrome, inneholder sin egen passordbehandling som er tilgjengelig via Valg & gt;Personlige ting & gt;Administrer lagrede passord. Dette er ikke noe nytt, og hvis du tillater Chrome å lagre deg passord, er du sannsynligvis allerede klar over denne funksjonen.

En fin touch av mindre sikkerhet er at du må først klikke på showknappen ved siden av hvert passord du vil vise.

bilde

bilde

Mens det ikke er noen begrensninger for å få tilgang til denne skjermen( dvs. hvis du har tilgang til skrivebordet der Chrome er installert, kan du komme til passordene), det er minst brukerintervensjon som kreves for å vise hvert passord, uten å kunne eksportere dembulk til en ren tekstfil.

instagram viewer

Hvor er passorddata lagret?

De lagrede passorddataene er lagret i en SQLite-database som ligger her:

% UserProfile% \ AppData \ Local \ Google \ Chrome \ Brukerdata \ Standard \ Login Data

Du kan åpne denne filen( filnavnet er bare "innloggingsdata") ved hjelp av SQLite Database Browser og se "logins" -tabellen som inneholder de lagrede passordene. Du vil merke at "password_value" -feltet er ulæsbart fordi verdien er kryptert.

bilde

Hvor sikker er krypterte data?

For å utføre krypteringen( på Windows) bruker Chrome en Windows-gitt API-funksjon som gjør at krypterte data kun deklareres av Windows-brukerkontoen som brukes til å kryptere passordet. Så hovedsakelig er ditt hovedpassord ditt Windows-passord. Som et resultat, når du er logget på Windows ved hjelp av kontoen din, kan disse dataene deklareres av Chrome.

Men fordi Windows-passordet ditt er en konstant, er tilgang til "hovedpassordet" ikke eksklusivt for Chrome, da eksterne verktøy kan komme til disse dataene - og dekryptere det - også.Ved å bruke det frie tilgjengelige verktøyet ChromePass av NirSoft, kan du se alle dine lagrede passorddata og enkelt eksportere den til en ren tekstfil.

bilde

Så det er fornuftig at hvis ChromePass-verktøyet har tilgang til disse dataene, kan malware som kjører som den respektive brukeren også få tilgang til det. Når ChromePass.exe er lastet opp til VirusTotal, merker mer enn halvparten av anti-virusmotorer det som farlig. I dette tilfellet er verktøyet trygt, men det er litt betryggende å se at denne oppførselen i det minste er flagget av mange AV-pakker( selv om Microsoft Security Essentials ikke er en av AV-motorer som rapporterte det som farlig).

bilde

Kan beskyttelsen bli omgått?

Anta at datamaskinen din er stjålet og tyven tilbakestiller Windows-passordet ditt for å kunne logge inn på din installasjon. Hvis de skulle prøve å se passordene i Chrome eller bruke ChromePass-verktøyet, vil passorddataene ikke være tilgjengelige.Årsaken er enkel som "hovedpassordet"( som var ditt Windows-passord før de kraftig tilbakestille det utenom Windows), stemmer ikke overens slik at dekrypteringen mislykkes.

bilde

I tillegg, hvis noen skulle simpelthen kopiere SQLite-databasefilen for Chrome og prøve å få tilgang til den på en annen datamaskin, ville ChromePass vise tomme passord av samme grunn som forklart ovenfor.

bilde

Konklusjon

På slutten av dagen avhenger sikkerheten til de Chrome-lagrede passordene helt på brukeren:

  • Bruk et veldig sterkt Windows-passord. Husk, det er verktøy som kan dechiffrere Windows-passord. Hvis noen får ditt Windows-passord, har de tilgang til de lagrede nettleserpassordene dine.
  • Beskytt deg mot skadelig programvare. Hvis verktøyene har lett tilgang til de lagrede passordene dine, hvorfor kan ikke skadelig programvare?
  • Lagre passordene dine i et passordstyringssystem som KeePass. Selvfølgelig, du mister bekvemmeligheten av å ha nettleseren automatisk fylle passordene dine.
  • Bruk et tredjepartsverktøy som integreres med Chrome, og bruker et hovedpassord for å administrere passordene dine.
  • Krypter hele harddisken din ved hjelp av TrueCrypt. Dette er helt valgfritt og for ultra-beskyttende, men hvis noen ikke kan dekryptere stasjonen, kan de sikkert ikke få noe av det.

Bunnlinjen er ganske enkelt å holde systemet ditt sikkert og Chrome-passordene dine skal også være rimelig sikre.

Last ned ChromePass fra NirSoft

Last ned SQLite Browser fra Sourceforge