כיצד מאובטחים סיסמאות דפדפן Chrome שנשמרו?
שאלה נפוצה לגבי דפדפן Google Chrome היא "מדוע לא קיימת סיסמת אב?" Google קיבלה (באופן לא רשמי) את עמדתה שסיסמה בסיסית מספקת תחושת ביטחון שגויה, והדרך הטובה ביותר להגנה על נתונים רגישים אלה היא באמצעות אבטחת המערכת הכוללת.
עד כמה מאובטחים נתוני הסיסמה השמורים שלך בתוך Google Chrome?
הצגת סיסמאות שמורות
Chrome, כולל מנהל הסיסמאות שלו, שניתן לגשת אליו דרך אפשרויות> דברים אישיים> ניהול סיסמאות שנשמרו. זה לא חדש ואם אתה מאפשר Chrome לאחסן את הסיסמאות שלך, אתה בטח כבר מודעים לתכונה זו.
מגע נחמד של אבטחה קטין הוא שאתה צריך קודם ללחוץ על לחצן הצג ליד כל סיסמה שברצונך להציג.
אמנם אין הגבלה על גישה למסך זה (כלומר, אם יש לך גישה לשולחן העבודה שבו מותקן Chrome, אתה יכול להגיע אל הסיסמאות), יש לפחות התערבות המשתמש הדרושה כדי להציג כל סיסמה ללא שום אפשרות לייצא אותם בכמות גדולה לקובץ טקסט רגיל.
היכן מאוחסנים נתוני הסיסמה?
נתוני הסיסמה שנשמרו מאוחסנים במסד נתונים SQLite הממוקם כאן:
% UserProfile% \ AppData \ מקומי \ Google \ Chrome \ נתוני משתמש \ ברירת מחדל \ נתוני התחברות
אתה יכול לפתוח את הקובץ (שם הקובץ הוא רק "התחברות נתונים") באמצעות דפדפן מסד נתונים SQLite ולהציג את "כניסות" טבלה המכיל את הסיסמאות שנשמרו. תוכלו לראות את השדה "password_value" אינו קריא משום שהערך מוצפן.
כיצד מאובטחת היא נתונים מוצפנים?
כדי לבצע את ההצפנה (ב- Windows), Chrome משתמש בפונקציית API של Windows שהופכת את הנתונים המוצפנים לפענוח רק באמצעות חשבון המשתמש של Windows המשמש להצפנת הסיסמה. אז בעצם, סיסמת המאסטר שלך היא סיסמת Windows שלך. כתוצאה מכך, ברגע שאתה מחובר ל- Windows באמצעות החשבון שלך, הנתונים האלה ניתנים לפענוח על ידי Chrome.
עם זאת, מכיוון שסיסמת חשבון Windows שלך היא קבועה, הגישה אל "סיסמת האב" אינה ייחודית ל- Chrome, שכן כלי עזר חיצוניים יכולים להגיע לנתונים אלה - ולפענח אותם - גם כן. באמצעות השירות זמין באופן חופשי ChromePass על ידי NirSoft, אתה יכול לראות את כל הנתונים שנשמרו הסיסמה בקלות לייצא אותו לקובץ טקסט רגיל.
אז זה הגיוני שאם כלי השירות של ChromePass יכול לגשת לנתונים אלה, תוכנה זדונית הפועלת כמשתמש המתאים יכולה לגשת אליה גם כן. כאשר ה- ChromePass.exe מועלה ל- VirusTotal, רק למעלה ממחצית ממנגנוני האנטי-וירוס מסמנים אותו כמסוכן. אמנם במקרה זה השירות הוא בטוח, זה קצת מרגיע לראות כי התנהגות זו היא לכל הפחות מסומן על ידי רבים של חבילות AV (אם כי Microsoft Security Essentials הוא לא אחד של מנועי AV אשר דיווחו שזה מסוכן).
האם ניתן להגן על ההגנה?
נניח שהמחשב שלך נגנב והגנב מאפס את סיסמת Windows שלך כדי להתחבר באופן מקורי להתקנה שלך. אם לאחר מכן ינסה להציג את הסיסמאות ב- Chrome או להשתמש בכלי השירות של ChromePass, נתוני הסיסמה לא יהיו זמינים. הסיבה היא פשוטה כמו "סיסמת המאסטר" (שהיה סיסמת Windows שלך לפני שהם לאפס את זה בכוח מחוץ Windows) לא מתאים כך פענוח נכשל.
בנוסף, אם מישהו היה פשוט מעתיק את קובץ מסד הנתונים של סיסמת Chrome של Chrome ומנסה לגשת אליו במחשב אחר, ChromePass יציג סיסמאות ריקות מאותה סיבה שהוסברה למעלה.
סיכום
בסופו של דבר, האבטחה של סיסמאות Chrome שנשמרו תלויה לחלוטין במשתמש:
- השתמש בסיסמה חזקה מאוד של סיסמת Windows. זכור, יש כלי עזר שיכולים לפענח סיסמאות של Windows. אם מישהו מקבל את סיסמת חשבון Windows שלך אז יש להם גישה סיסמאות הדפדפן שנשמרו.
- הגן על עצמך מפני תוכנות זדוניות. אם כלי שירות יכולים לגשת בקלות לסיסמאות השמורות שלך, מדוע לא ניתן להשתמש בתוכנה זדונית?
- שמור את הסיסמאות שלך במערכת לניהול סיסמאות כגון KeePass. כמובן, אתה משוחרר הנוחות של בעל הדפדפן אוטומטי למלא את הסיסמאות שלך.
- השתמש בכלי שירות של צד שלישי המשתלב עם Chrome ומשתמש בסיסמת מנהל כדי לנהל את הסיסמאות שלך.
- להצפין את כל הכונן הקשיח באמצעות TrueCrypt. זה אופציונלי לחלוטין עבור מגן אולטרה, אבל אם מישהו לא יכול לפענח את הכונן הם בוודאי לא יכול לקבל שום דבר מזה.
השורה התחתונה היא פשוט לשמור על האבטחה של המערכת שלך ואת סיסמאות Chrome שלך צריך להיות מאובטח באופן סביר גם כן.
הורד את ChromePass מ NirSoft
הורד SQLite דפדפן מ - Sourceforge