Μια συνηθισμένη ερώτηση σχετικά με το πρόγραμμα περιήγησης Google Chrome είναι "γιατί δεν υπάρχει κύριος κωδικός πρόσβασης;" Η Google έχει (ανεπίσημα) έλαβε τη θέση ότι ένας κύριος κωδικός πρόσβασης παρέχει ψευδή αίσθηση ασφάλειας και η πιο βιώσιμη μορφή προστασίας για αυτά τα ευαίσθητα δεδομένα είναι μέσω της συνολικής ασφάλειας του συστήματος.
Πόσο ασφαλή είναι λοιπόν τα αποθηκευμένα δεδομένα κωδικού πρόσβασης στο Google Chrome;
Προβολή αποθηκευμένων κωδικών πρόσβασης
Το Chrome, περιλαμβάνει τον δικό του διαχειριστή κωδικών πρόσβασης, ο οποίος είναι προσβάσιμος μέσω Επιλογών> Προσωπικά στοιχεία> Διαχείριση αποθηκευμένων κωδικών πρόσβασης. Αυτό δεν είναι κάτι καινούργιο και εάν επιτρέψετε στο Chrome να αποθηκεύει κωδικούς πρόσβασης, πιθανότατα γνωρίζετε ήδη αυτήν τη λειτουργία.
Ένα ωραίο άγγιγμα μικρής ασφάλειας είναι ότι πρέπει πρώτα να κάνετε κλικ στο κουμπί Εμφάνιση δίπλα σε κάθε κωδικό πρόσβασης που θέλετε να προβάλετε.
Παρόλο που δεν υπάρχει περιορισμός πρόσβασης σε αυτήν την οθόνη (δηλ. Εάν έχετε πρόσβαση στην επιφάνεια εργασίας όπου είναι εγκατεστημένο το Chrome, μπορείτε να μεταβείτε στους κωδικούς πρόσβασης), απαιτείται τουλάχιστον παρέμβαση χρήστη για την προβολή κάθε κωδικού πρόσβασης χωρίς τρόπο εξαγωγής τους μαζικά σε ένα αρχείο απλού κειμένου.
Πού αποθηκεύονται τα δεδομένα κωδικού πρόσβασης;
Τα αποθηκευμένα δεδομένα κωδικού πρόσβασης αποθηκεύονται σε μια βάση δεδομένων SQLite που βρίσκεται εδώ:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Μπορείτε να ανοίξετε αυτό το αρχείο (το όνομα του αρχείου είναι απλώς "Δεδομένα σύνδεσης") χρησιμοποιώντας το πρόγραμμα περιήγησης βάσης δεδομένων SQLite και να δείτε τον πίνακα "συνδέσεις" που περιέχει τους αποθηκευμένους κωδικούς πρόσβασης. Θα παρατηρήσετε ότι το πεδίο "password_value" είναι δυσανάγνωστο επειδή η τιμή είναι κρυπτογραφημένη.
Πόσο ασφαλή είναι τα κρυπτογραφημένα δεδομένα;
Για την εκτέλεση της κρυπτογράφησης (σε Windows), το Chrome χρησιμοποιεί μια λειτουργία API που παρέχεται από Windows, η οποία κάνει τα κρυπτογραφημένα δεδομένα να αποκρυπτογραφούνται μόνο από τον λογαριασμό χρήστη των Windows που χρησιμοποιείται για την κρυπτογράφηση του κωδικού πρόσβασης. Ουσιαστικά, ο κύριος κωδικός πρόσβασης είναι ο κωδικός πρόσβασης του λογαριασμού σας στα Windows. Ως αποτέλεσμα, μόλις συνδεθείτε στα Windows χρησιμοποιώντας τον λογαριασμό σας, αυτά τα δεδομένα αποκρυπτογραφούνται από το Chrome.
Ωστόσο, επειδή ο κωδικός πρόσβασης του λογαριασμού σας στα Windows είναι σταθερός, η πρόσβαση στον "κύριο κωδικό πρόσβασης" δεν είναι αποκλειστική για το Chrome, καθώς τα εξωτερικά βοηθητικά προγράμματα μπορούν να φτάσουν σε αυτά τα δεδομένα - και να το αποκρυπτογραφήσουν - επίσης Χρησιμοποιώντας το δωρεάν διαθέσιμο βοηθητικό πρόγραμμα ChromePass της NirSoft, μπορείτε να δείτε όλα τα αποθηκευμένα δεδομένα κωδικού πρόσβασης και να τα εξαγάγετε εύκολα σε ένα αρχείο απλού κειμένου.
Επομένως, είναι λογικό ότι εάν το βοηθητικό πρόγραμμα ChromePass μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα, το κακόβουλο λογισμικό που εκτελείται καθώς ο αντίστοιχος χρήστης θα μπορούσε επίσης να έχει πρόσβαση σε αυτά. Οταν ο Το ChromePass.exe μεταφορτώνεται στο VirusTotal , λίγο περισσότερο από τους μισούς κινητήρες προστασίας από ιούς το χαρακτηρίζουν ως επικίνδυνο. Ενώ σε αυτήν την περίπτωση το βοηθητικό πρόγραμμα είναι ασφαλές, είναι λίγο καθησυχαστικό να δούμε ότι αυτή η συμπεριφορά επισημαίνεται τουλάχιστον από πολλά πακέτα AV (αν και το Microsoft Security Essentials δεν είναι ένας από τους κινητήρες AV που το ανέφεραν ως επικίνδυνο).
Μπορεί να προστατευθεί η προστασία;
Ας υποθέσουμε ότι ο υπολογιστής σας έχει κλαπεί και ο κλέφτης επαναφέρει τον κωδικό πρόσβασής σας στα Windows για να συνδεθείτε εγγενώς στην εγκατάστασή σας. Εάν προσπαθούσαν στη συνέχεια να δουν τους κωδικούς πρόσβασης στο Chrome ή να χρησιμοποιήσουν το βοηθητικό πρόγραμμα ChromePass, τα δεδομένα κωδικού πρόσβασης δεν θα ήταν διαθέσιμα. Ο λόγος είναι απλός, καθώς ο "κύριος κωδικός πρόσβασης" (που ήταν ο κωδικός πρόσβασης του λογαριασμού σας στα Windows πριν τους επαναφέρει δυναμικά έξω από τα Windows) δεν ταιριάζει, ώστε η αποκρυπτογράφηση να αποτύχει
Επιπλέον, εάν κάποιος απλώς αντιγράψει το αρχείο βάσης δεδομένων SQLite κωδικού πρόσβασης Chrome και προσπαθήσει να αποκτήσει πρόσβαση σε αυτόν σε άλλον υπολογιστή, το ChromePass θα εμφανίζει άδειους κωδικούς πρόσβασης για τον ίδιο λόγο που εξηγείται παραπάνω.
συμπέρασμα
Στο τέλος της ημέρας, η ασφάλεια των αποθηκευμένων κωδικών πρόσβασης του Chrome εξαρτάται πλήρως από τον χρήστη:
- Χρησιμοποιήστε έναν πολύ ισχυρό κωδικό πρόσβασης λογαριασμού Windows. Λάβετε υπόψη, υπάρχουν βοηθητικά προγράμματα που μπορούν να αποκρυπτογραφήσουν τους κωδικούς πρόσβασης των Windows . Εάν κάποιος λάβει τον κωδικό πρόσβασης του λογαριασμού σας στα Windows, τότε έχει πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης του προγράμματος περιήγησής σας.
- Προστατέψτε τον εαυτό σας από κακόβουλο λογισμικό. Εάν τα βοηθητικά προγράμματα μπορούν να έχουν εύκολη πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασής σας, γιατί δεν μπορείτε να κάνετε κακόβουλο λογισμικό;
- Αποθηκεύστε τους κωδικούς πρόσβασής σας σε ένα σύστημα διαχείρισης κωδικών πρόσβασης όπως το KeePass. Φυσικά, χάνετε την ευκολία να έχετε αυτόματη συμπλήρωση των κωδικών πρόσβασης του προγράμματος περιήγησης.
- Χρησιμοποιήστε ένα βοηθητικό πρόγραμμα τρίτου μέρους που ενσωματώνεται στο Chrome και χρησιμοποιεί έναν κύριο κωδικό πρόσβασης για τη διαχείριση των κωδικών πρόσβασής σας.
- Κρυπτογραφήστε ολόκληρο τον σκληρό σας δίσκο χρησιμοποιώντας το TrueCrypt. Αυτό είναι εντελώς προαιρετικό και για το εξαιρετικά προστατευτικό, αλλά αν κάποιος δεν μπορεί να αποκρυπτογραφήσει τη μονάδα δίσκου σας, σίγουρα δεν μπορεί να πάρει τίποτα από αυτό.
Η κατώτατη γραμμή είναι απλώς να διατηρείτε το σύστημά σας ασφαλές και οι κωδικοί πρόσβασης του Chrome θα πρέπει επίσης να είναι εύλογα ασφαλείς.
