Et almindeligt spørgsmål om Google Chrome-browseren er "hvorfor er der ikke en hovedadgangskode?" Google har (uofficielt) indtaget den holdning, at en hovedadgangskode giver en falsk følelse af sikkerhed og den mest levedygtige form for beskyttelse af disse følsomme data er gennem den samlede systemsikkerhed.
Så nøjagtigt hvor sikre er dine gemte adgangskodedata inde i Google Chrome?
Visning af gemte adgangskoder
Chrome inkluderer sin egen adgangskodeadministrator, som er tilgængelig via Indstillinger> Personlige ting> Administrer gemte adgangskoder. Dette er ikke noget nyt, og hvis du tillader Chrome at gemme dine adgangskoder, er du sandsynligvis allerede opmærksom på denne funktion.
Et godt strejf af mindre sikkerhed er, at du først skal klikke på knappen Vis ved siden af hver adgangskode, du vil se.
Selvom der ikke er nogen begrænsning for at få adgang til dette skærmbillede (dvs. hvis du har adgang til skrivebordet, hvor Chrome er installeret, kan du komme til adgangskoderne), er der i det mindste brugerintervention, der kræves for at se hver adgangskode uden mulighed for at eksportere dem i løs vægt til en almindelig tekstfil.
Hvor gemmes adgangskodedataene?
De gemte adgangskodedata er gemt i en SQLite-database, der er placeret her:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Standard \ Login Data
Du kan åbne denne fil (filnavnet er bare "Login Data") ved hjælp af SQLite Database Browser og se "logins" -tabellen, der indeholder de gemte adgangskoder. Du vil bemærke, at feltet "password_value" ikke kan læses, fordi værdien er krypteret.
Hvor sikker er de krypterede data?
For at udføre krypteringen (på Windows) bruger Chrome en Windows-forudsat API-funktion, der gør de krypterede data kun dekrypterbare af den Windows-brugerkonto, der bruges til at kryptere adgangskoden. Så i det væsentlige er din hovedadgangskode din Windows-adgangskode. Som et resultat, når du er logget ind på Windows ved hjælp af din konto, kan disse data dechiffreres af Chrome.
Men fordi din adgangskode til din Windows-konto er konstant, er adgang til "hovedadgangskoden" ikke eksklusiv for Chrome, da eksterne hjælpeprogrammer også kan komme til disse data - og dekryptere dem -. Ved hjælp af det frit tilgængelige værktøj ChromePass fra NirSoft kan du se alle dine gemte adgangskodedata og nemt eksportere dem til en almindelig tekstfil.
Så det giver mening, at hvis ChromePass-værktøjet kan få adgang til disse data, kunne malware, der kører som den respektive bruger, også få adgang til det. Når ChromePass.exe uploades til VirusTotal , lidt over halvdelen af antivirusmotorer markerer det som farligt. Mens i dette tilfælde værktøjet er sikkert, er det lidt betryggende at se, at denne adfærd i det mindste er markeret af mange af AV-pakker (selvom Microsoft Security Essentials ikke er en af AV-motorerne, der rapporterede det som farligt).
Kan beskyttelsen omgås?
Antag at din computer er stjålet og tyven nulstiller din Windows-adgangskode for at logge indbygget på din installation. Hvis de efterfølgende forsøgte at se adgangskoderne i Chrome eller bruge ChromePass-værktøjet, ville adgangskodedataene ikke være tilgængelige. Årsagen er enkel, da “hovedadgangskoden” (som var din adgangskode til din Windows-konto, før de nulstiller den uden for Windows) ikke stemmer overens, så dekrypteringen mislykkes.
Derudover, hvis nogen simpelthen skulle kopiere Chrome-adgangskodens SQLite-databasefil og forsøge at få adgang til den på en anden computer, ville ChromePass vise tomme adgangskoder af samme grund som forklaret ovenfor.
Konklusion
I slutningen af dagen afhænger sikkerheden af de Chrome-gemte adgangskoder helt af brugeren:
- Brug en meget stærk Windows-adgangskode. Husk, der er hjælpeprogrammer, der kan dechifrere Windows-adgangskoder . Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte browseradgangskoder.
- Beskyt dig selv mod malware. Hvis hjælpeprogrammer nemt kan få adgang til dine gemte adgangskoder, hvorfor kan malware da ikke?
- Gem dine adgangskoder i et adgangskodestyringssystem såsom KeePass. Selvfølgelig mister du bekvemmeligheden ved, at browseren automatisk udfylder dine adgangskoder.
- Brug et tredjepartsværktøj, der integreres med Chrome og bruger en hovedadgangskode til at administrere dine adgangskoder.
- Krypter hele din harddisk ved hjælp af TrueCrypt. Dette er helt valgfrit og til det ultrabeskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de helt sikkert ikke få noget ud af det.
Bundlinjen er simpelthen at holde dit system sikkert, og dine Chrome-adgangskoder skal også være rimeligt sikre.
