Mennyire biztonságosak a mentett Chrome-böngészőjelszavak?
A Google Chrome böngészővel kapcsolatos általános kérdés az, hogy „miért nem létezik mester jelszó?” A Google (nem hivatalos) úgy vélte, hogy a fő jelszó hamis biztonságérzetet biztosít, és az érzékeny adatok védelmének leginkább életképes formája átfogó rendszerbiztonságon keresztül.
Tehát pontosan mennyire biztonságos a mentett jelszóadatok a Google Chrome-on belül?
Mentett jelszavak megtekintése
A Chrome saját jelszókezelőt tartalmaz, amely elérhető az Opciók> Személyes dolgok> Mentett jelszavak kezelése útján. Ez nem újdonság, és ha engedélyezi a Chrome-nak a jelszavak tárolását, akkor valószínűleg már tudja ezt a funkciót.
A kis biztonság egy szép érintése, hogy először a megjelenítendő jelszó melletti kattintásra kell kattintania.
Bár nincs korlátozás a képernyő eléréséhez (pl. Ha hozzáférést biztosít az asztali számítógéphez, ahol a Chrome telepítve van, akkor a jelszavakhoz juthat), legalább egy felhasználói beavatkozásra van szükség ahhoz, hogy az egyes jelszavakat megtekinthesse, és nem szabad ömlesztve exportálni őket egy egyszerű szöveges fájlba.
Hol van a jelszóadatok tárolása?
Az elmentett jelszóadatokat egy SQLite adatbázisban tárolják itt:
% UserProfile% AppData Helyi Google Chrome Felhasználói adatok Alapértelmezett bejelentkezési adatok
Megnyithatja ezt a fájlt (a fájlnév csak a „Login Data”) az SQLite adatbázis böngésző segítségével, és megtekintheti a „bejelentkezések” táblázatot, amely tartalmazza a mentett jelszavakat. Észre fogja venni, hogy a „password_value” mező olvashatatlan, mert az érték titkosítva van.
Mennyire biztonságos a titkosított adatok?
A titkosítás végrehajtásához (a Windows rendszeren) a Chrome egy Windows által biztosított API-funkciót használ, amely a titkosított adatokat csak a jelszó titkosításához használt Windows felhasználói fiók segítségével tudja megfejteni. Tehát lényegében a fő jelszava a Windows-fiók jelszava. Ennek eredményeként, ha bejelentkezett a Windows-ba a fiókja segítségével, az adatok a Chrome által leolvashatók.
Mivel azonban a Windows-fiók jelszava állandó, a „fő jelszó” elérése nem kizárólagos a Chrome számára, mivel a külső segédprogramok elérhetik ezeket az adatokat - és visszafejthetik azt is. A NirSoft által a szabadon elérhető ChromePass segédprogram segítségével láthatja az összes mentett jelszót és könnyen exportálhatja azt egy egyszerű szövegfájlba.
Ezért van értelme, hogy ha a ChromePass segédprogram hozzáférhet ezekhez az adatokhoz, akkor az adott felhasználó által futó malware is elérheti azt. Amikor a ChromePass.exe feltöltődik a VirusTotalra, az anti-vírus motorok több mint fele veszélyesnek jelöli meg. Míg ebben az esetben a segédprogram biztonságos, kicsit megnyugtató, hogy ezt a viselkedést legalább az AV-csomagok jelölik (bár a Microsoft Security Essentials nem az egyik olyan AV-motor, amely veszélyesnek jelentette).
Lehet-e köröztetni a védelmet?
Tegyük fel, hogy a számítógépet ellopják, és a tolvaj visszaállítja a Windows jelszavát annak érdekében, hogy natívan bejelentkezzen a telepítésre. Ha később megpróbálnák megtekinteni a Chrome jelszavait, vagy a ChromePass segédprogramot használnák, a jelszóadatok nem állnak rendelkezésre. Az ok egyszerű, mivel a „fő jelszó” (ami a Windows-fiókod jelszava volt, mielőtt azokat erőteljesen visszaállította a Windows-on kívül), így nem felel meg a dekódolás.
Továbbá, ha valaki egyszerűen átmásolja a Chrome-jelszó SQLite adatbázisfájlját, és megpróbál hozzáférni egy másik számítógépen, a ChromePass üres jelszavakat jelenít meg ugyanezen okok miatt.
Következtetés
A nap végén a Chrome mentett jelszavainak biztonsága teljesen függ a felhasználótól:
- Használjon egy nagyon erős Windows-fiók jelszót. Ne feledje, vannak olyan segédprogramok, amelyek megfejthetik a Windows jelszavakat. Ha valaki megkapja a Windows-fiók jelszavát, akkor hozzáférhet a mentett böngészőjelszavaihoz.
- Védje meg magát a rosszindulatú programoktól. Ha a segédprogramok könnyen elérhetik a mentett jelszavakat, akkor miért nem lehet a rosszindulatú program?
- Mentse el a jelszavát egy jelszókezelő rendszerben, mint például a KeePass. Természetesen elveszíti a kényelmet, ha a böngésző automatikusan kitölti a jelszavát.
- Használjon egy harmadik féltől származó segédprogramot, amely integrálódik a Chrome-mal, és a jelszavakat kezelő fő jelszót használ.
- Titkosítsa a teljes merevlemezt a TrueCrypt használatával. Ez teljesen opcionális, és az ultra-védő számára, de ha valaki nem tudja visszafejteni a meghajtót, akkor biztosan nem tud semmit sem tudni róla.
A lényeg az, hogy egyszerűen megőrizze a rendszer biztonságát, és a Chrome-jelszavának is megbízhatónak kell lennie.
Töltse le a ChromePass-ot a NirSoft-tól
Töltse le az SQLite Browser programot a Sourceforge-ból