Общий вопрос о браузере Google Chrome: «Почему нет мастер-пароля?» Google (неофициально) заняла позицию, что мастер-пароль обеспечивает ложное чувство безопасности, и наиболее жизнеспособной формой защиты этих конфиденциальных данных является через общую систему безопасности.
Итак, насколько безопасны ваши сохраненные данные паролей в Google Chrome?
Просмотр сохраненных паролей
Chrome включает собственный менеджер паролей, который доступен через «Параметры»> «Личные вещи»> «Управление сохраненными паролями». В этом нет ничего нового, и если вы разрешите Chrome хранить ваши пароли, вы, вероятно, уже знаете об этой функции.
Приятный штрих незначительной безопасности заключается в том, что сначала вы должны нажать кнопку «Показать» рядом с каждым паролем, который хотите просмотреть.
Несмотря на то, что нет ограничений на доступ к этому экрану (т. Е. Если у вас есть доступ к рабочему столу, на котором установлен Chrome, вы можете получить пароли), для просмотра каждого пароля требуется как минимум вмешательство пользователя без возможности массового экспорта. в простой текстовый файл.
Где хранятся данные пароля?
Сохраненные данные пароля хранятся в базе данных SQLite, расположенной здесь:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Данные пользователя \ По умолчанию \ Данные для входа
Вы можете открыть этот файл (имя файла просто «Регистрационные данные») с помощью браузера баз данных SQLite и просмотреть таблицу «логины», которая содержит сохраненные пароли. Вы заметите, что поле «password_value» не читается, потому что значение зашифровано.
Насколько безопасны зашифрованные данные?
Для выполнения шифрования (в Windows) Chrome использует API-функцию, предоставляемую Windows, благодаря которой зашифрованные данные могут быть расшифрованы только той учетной записью пользователя Windows, которая использовалась для шифрования пароля. По сути, ваш главный пароль – это пароль вашей учетной записи Windows. В результате после входа в Windows с использованием учетной записи эти данные будут расшифрованы Chrome.
Однако, поскольку пароль вашей учетной записи Windows является постоянным, доступ к «мастер-паролю» не является эксклюзивным для Chrome, поскольку внешние утилиты могут получить и расшифровать эти данные. Используя бесплатную утилиту ChromePass от NirSoft, вы можете просмотреть все сохраненные данные пароля и легко экспортировать их в текстовый файл.
Поэтому имеет смысл, что если утилита ChromePass может получить доступ к этим данным, вредоносное ПО, работающее как соответствующий пользователь, также может получить к ним доступ. Когда ChromePass.exe загружается в VirusTotal, чуть более половины антивирусных механизмов помечают его как опасный. Хотя в этом случае утилита безопасна, несколько обнадеживает тот факт, что это поведение, по крайней мере, помечено многими AV-пакетами (хотя Microsoft Security Essentials не является одним из антивирусных ядер, которые сообщили, что это опасно).
Можно ли обойти защиту?
Предположим, что ваш компьютер украден, и похититель сбрасывает ваш пароль Windows, чтобы войти в вашу установку. Если впоследствии они попытаются просмотреть пароли в Chrome или использовать утилиту ChromePass, данные о паролях будут недоступны. Причина проста, так как «главный пароль» (который был паролем вашей учетной записи Windows до их принудительного сброса за пределами Windows) не совпадает, поэтому расшифровка завершается неудачно.
Кроме того, если кто-то просто скопирует файл базы данных SQLite с паролем Chrome и попытается получить к нему доступ на другом компьютере, ChromePass отобразит пустые пароли по той же причине, что и описанная выше.
Заключение
В конце концов, безопасность сохраненных паролей Chrome полностью зависит от пользователя:
- Используйте очень надежный пароль учетной записи Windows. Имейте в виду, что есть утилиты, которые могут расшифровать пароли Windows. Если кто-то получит пароль вашей учетной записи Windows, он получит доступ к вашим сохраненным паролям браузера.
- Защитите себя от вредоносных программ. Если утилиты могут легко получить доступ к вашим сохраненным паролям, почему не могут быть вредоносные программы?
- Сохраните ваши пароли в системе управления паролями, такой как KeePass. Конечно, вы теряете удобство, когда браузер автоматически заполняет ваши пароли.
- Используйте стороннюю утилиту, которая интегрируется с Chrome и использует главный пароль для управления вашими паролями.
- Зашифруйте весь жесткий диск с помощью TrueCrypt. Это совершенно необязательно и для сверхзащиты, но если кто-то не сможет расшифровать ваш диск, он наверняка не сможет извлечь из него ничего.
Суть в том, чтобы просто обеспечить безопасность вашей системы, и ваши пароли Chrome также должны быть достаточно безопасными.
Загрузить ChromePass от NirSoft
Скачать браузер SQLite от Sourceforge
