Una domanda comune sul browser Google Chrome è "perché non esiste una password principale?" Google ha (non ufficialmente) ha assunto la posizione che una password principale fornisce un falso senso di sicurezza e la forma più praticabile di protezione per questi dati sensibili è attraverso la sicurezza generale del sistema.
Quindi esattamente quanto sono sicuri i dati della tua password salvata all'interno di Google Chrome?
Visualizzazione delle password salvate
Chrome, include un proprio gestore di password accessibile tramite Opzioni> Impostazioni personali> Gestisci password salvate. Non è una novità e se consenti a Chrome di memorizzare le tue password, probabilmente sei già a conoscenza di questa funzione.
Un bel tocco di sicurezza minore è che devi prima fare clic sul pulsante Mostra accanto a ciascuna password che desideri visualizzare.
Sebbene non ci siano restrizioni per accedere a questa schermata (ad esempio, se hai accesso al desktop in cui è installato Chrome, puoi accedere alle password), è necessario almeno l'intervento dell'utente per visualizzare ogni password senza alcun modo per esportarle in blocco in un file di testo semplice.
Dove vengono archiviati i dati della password?
I dati della password salvati vengono archiviati in un database SQLite situato qui:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
È possibile aprire questo file (il nome del file è solo "Dati di accesso") utilizzando SQLite Database Browser e visualizzare la tabella "accessi" che contiene le password salvate. Noterai che il campo "password_value" è illeggibile perché il valore è crittografato.
Quanto sono sicuri i dati crittografati?
Per eseguire la crittografia (su Windows), Chrome utilizza una funzione API fornita da Windows che rende i dati crittografati decifrabili solo dall'account utente di Windows utilizzato per crittografare la password. Quindi, in sostanza, la tua password principale è la password del tuo account Windows. Di conseguenza, una volta effettuato l'accesso a Windows utilizzando il tuo account, questi dati possono essere decifrati da Chrome.
Tuttavia, poiché la password del tuo account Windows è una costante, l'accesso alla "password principale" non è esclusivo di Chrome poiché anche le utilità esterne possono accedere a questi dati e decrittografarli. Utilizzando l'utilità gratuita ChromePass di NirSoft, puoi vedere tutti i dati della tua password salvata ed esportarli facilmente in un file di testo normale.
Quindi ha senso che se l'utilità ChromePass può accedere a questi dati, anche il malware in esecuzione come il rispettivo utente possa accedervi. Quando il ChromePass.exe viene caricato su VirusTotal , poco più della metà dei motori antivirus lo contrassegna come pericoloso. Sebbene in questo caso l'utility sia sicura, è un po 'rassicurante vedere che questo comportamento è quantomeno segnalato da molti pacchetti AV (sebbene Microsoft Security Essentials non sia uno dei motori AV che lo ha segnalato come pericoloso).
La protezione può essere elusa?
Supponiamo che il tuo computer venga rubato e il ladro ripristina la password di Windows per accedere in modo nativo alla tua installazione. Se successivamente dovessero provare a visualizzare le password in Chrome o utilizzare l'utilità ChromePass, i dati della password non sarebbero disponibili. Il motivo è semplice in quanto la "password principale" (che era la password del tuo account Windows prima del ripristino forzato al di fuori di Windows) non corrisponde, quindi la decrittografia non riesce.
Inoltre, se qualcuno dovesse semplicemente copiare il file del database SQLite della password di Chrome e provare ad accedervi su un altro computer, ChromePass visualizzerebbe password vuote per lo stesso motivo spiegato sopra.
Conclusione
Alla fine della giornata, la sicurezza delle password salvate di Chrome dipende totalmente dall'utente:
- Utilizza una password dell'account Windows molto complessa. Tieni presente che ci sono utilità in grado di decifrare le password di Windows . Se qualcuno ottiene la password del tuo account Windows, avrà accesso alle password del browser salvate.
- Proteggiti dal malware. Se le utilità sono in grado di accedere facilmente alle password salvate, perché non possono malware?
- Salva le tue password in un sistema di gestione delle password come KeePass. Ovviamente, perdi la comodità di avere il browser che inserisce automaticamente le tue password.
- Utilizza un'utilità di terze parti che si integra con Chrome e utilizza una password principale per gestire le tue password.
- Crittografa l'intero disco rigido utilizzando TrueCrypt. Questo è completamente facoltativo e per l'ultra protezione, ma se qualcuno non è in grado di decrittografare il tuo disco, sicuramente non potrà ottenere nulla da esso.
La linea di fondo è semplicemente mantenere il tuo sistema sicuro e anche le tue password di Chrome dovrebbero essere ragionevolmente sicure.
