Typowe pytanie o przeglądarkę Google Chrome to "dlaczego nie ma głównego hasła?" Firma Google (nieoficjalnie) przyjęła pozycję, że hasło główne zapewnia fałszywe poczucie bezpieczeństwa, a najbardziej realną formą ochrony tych poufnych danych jest poprzez ogólne bezpieczeństwo systemu.
Jak dokładnie bezpieczne są Twoje zapisane hasła w Google Chrome?
Chrome zawiera własny menedżer haseł dostępny w menu Opcje> Rzeczy osobiste> Zarządzaj zapisanymi hasłami. To nic nowego i jeśli pozwolisz Chrome przechowywać hasła, prawdopodobnie już wiesz o tej funkcji.
Miłym akcentem mniejszych zabezpieczeń jest to, że musisz najpierw kliknąć przycisk Pokaż obok każdego hasła, które chcesz wyświetlić.
Chociaż nie ma ograniczeń dostępu do tego ekranu (np. Jeśli masz dostęp do pulpitu, na którym zainstalowana jest Chrome, możesz uzyskać dostęp do haseł), wymagana jest przynajmniej interwencja użytkownika, aby wyświetlić każde hasło bez możliwości ich hurtowego eksportu do zwykłego pliku tekstowego.
Zapisane dane hasła są przechowywane w bazie danych SQLite znajdującej się tutaj:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Dane użytkownika \ Default \ Login Data
Możesz otworzyć ten plik (nazwa pliku to tylko "Dane logowania") za pomocą SQLite Database Browser i wyświetlić tabelę "loginy", która zawiera zapisane hasła. Zauważ, że pole "password_value" jest nieczytelne, ponieważ wartość jest zaszyfrowana.
Aby wykonać szyfrowanie (w systemie Windows), Chrome używa funkcji API dostarczanej przez system Windows, która sprawia, że zaszyfrowane dane są odczytywalne tylko przez konto użytkownika systemu Windows używane do szyfrowania hasła. Zasadniczo głównym hasłem jest hasło do konta systemu Windows. W rezultacie po zalogowaniu do systemu Windows przy użyciu konta dane te są odczytywalne przez Chrome.
Ponieważ jednak hasło do konta systemu Windows jest stałe, dostęp do "hasła głównego" nie dotyczy wyłącznie przeglądarki Chrome, ponieważ zewnętrzne narzędzia mogą uzyskiwać te dane - i odszyfrowywać je - również. Korzystając ze swobodnie dostępnego narzędzia ChromePass firmy NirSoft, możesz zobaczyć wszystkie zapisane dane hasła i łatwo wyeksportować je do zwykłego pliku tekstowego.
Ma to sens, jeśli narzędzie ChromePass ma dostęp do tych danych, może również uzyskać dostęp do złośliwego oprogramowania działającego jako odpowiedni użytkownik. Gdy ChromePass.exe zostanie załadowany do VirusTotal, nieco ponad połowa silników antywirusowych uzna je za niebezpieczne. Podczas gdy w tym przypadku narzędzie jest bezpieczne, to trochę uspokajające jest stwierdzenie, że to zachowanie jest co najmniej oflagowane przez wiele pakietów AV (chociaż Microsoft Security Essentials nie jest jednym z silników AV, który zgłosił to jako niebezpieczne).
Załóżmy, że komputer został skradziony, a złodziej resetuje hasło systemu Windows w celu bezpośredniego zalogowania się do instalacji. Gdyby następnie spróbowali wyświetlić hasła w Chrome lub skorzystali z narzędzia ChromePass, dane hasła nie byłyby dostępne. Powód jest prosty, ponieważ "hasło główne" (które było hasłem do twojego konta Windows przed ich wymuszonym resetowaniem poza systemem Windows) nie pasuje, więc odszyfrowywanie nie powiedzie się.
Dodatkowo, jeśli ktoś po prostu skopiuje plik bazy danych SQLite hasła Chrome i spróbuje uzyskać do niego dostęp na innym komputerze, ChromePass będzie wyświetlał puste hasła z tego samego powodu, o którym mowa powyżej.
Pod koniec dnia bezpieczeństwo zapisanych w Chrome haseł zależy całkowicie od użytkownika:
Najważniejsze jest to, aby system był bezpieczny, a hasła do Chrome także powinny być rozsądnie bezpieczne.
Pobierz ChromePass z NirSoft
Pobierz przeglądarkę SQLite od Sourceforge
