Typowe pytanie dotyczące przeglądarki Google Chrome brzmi „dlaczego nie ma hasła głównego?” Google ma (nieoficjalnie) przyjął stanowisko, że hasło główne zapewnia fałszywe poczucie bezpieczeństwa, a najbardziej realną formą ochrony tych wrażliwych danych jest ogólne zabezpieczenie systemu.
A więc jak bezpieczne są Twoje zapisane dane hasła w Google Chrome?
Przeglądanie zapisanych haseł
Chrome zawiera własnego menedżera haseł, który jest dostępny poprzez Opcje> Prywatne rzeczy> Zarządzaj zapisanymi hasłami. To nic nowego i jeśli zezwolisz Chrome na przechowywanie haseł, prawdopodobnie już wiesz o tej funkcji.
Miłym dodatkiem drobnych zabezpieczeń jest to, że musisz najpierw kliknąć przycisk pokaż obok każdego hasła, które chcesz wyświetlić.
Chociaż nie ma ograniczeń dostępu do tego ekranu (tj. Jeśli masz dostęp do pulpitu, na którym jest zainstalowany Chrome, możesz uzyskać dostęp do haseł), wymagana jest przynajmniej interwencja użytkownika, aby wyświetlić każde hasło bez możliwości ich zbiorczego eksportu do zwykłego pliku tekstowego.
Gdzie są przechowywane dane dotyczące hasła?
Zapisane dane haseł są przechowywane w bazie danych SQLite znajdującej się tutaj:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Możesz otworzyć ten plik (nazwa pliku to po prostu „Dane logowania”) za pomocą przeglądarki bazy danych SQLite i wyświetlić tabelę „loginów”, która zawiera zapisane hasła. Zauważysz, że pole „password_value” jest nieczytelne, ponieważ wartość jest zaszyfrowana.
Jak bezpieczne są zaszyfrowane dane?
Aby wykonać szyfrowanie (w systemie Windows), Chrome korzysta z funkcji interfejsu API systemu Windows, która umożliwia odszyfrowanie zaszyfrowanych danych tylko przez konto użytkownika systemu Windows używane do zaszyfrowania hasła. Zasadniczo Twoje hasło główne to hasło do konta Windows. W rezultacie po zalogowaniu się do systemu Windows przy użyciu swojego konta Chrome może odczytać te dane.
Ponieważ jednak hasło do konta Windows jest stałe, dostęp do „hasła głównego” nie jest wyłączny dla przeglądarki Chrome, ponieważ narzędzia zewnętrzne mogą również uzyskać dostęp do tych danych - i je odszyfrować. Korzystając z bezpłatnego narzędzia ChromePass firmy NirSoft, możesz wyświetlić wszystkie zapisane dane hasła i łatwo wyeksportować je do zwykłego pliku tekstowego.
Dlatego ma sens, jeśli narzędzie ChromePass może uzyskać dostęp do tych danych, złośliwe oprogramowanie działające jako odpowiedni użytkownik również może uzyskać do nich dostęp. Kiedy ChromePass.exe zostanie przesłany do VirusTotal , nieco ponad połowa silników antywirusowych oznacza to jako niebezpieczne. Chociaż w tym przypadku narzędzie jest bezpieczne, nieco uspokajające jest to, że takie zachowanie jest co najmniej sygnalizowane przez wiele pakietów antywirusowych (chociaż Microsoft Security Essentials nie jest jednym z silników antywirusowych, które zgłosiły je jako niebezpieczne).
Czy można obejść ochronę?
Przypuśćmy, że twój komputer został skradziony, a złodziej resetuje hasło systemu Windows aby natywnie zalogować się do swojej instalacji. Gdyby następnie spróbowali wyświetlić hasła w Chrome lub użyć narzędzia ChromePass, dane hasła nie byłyby dostępne. Przyczyna jest prosta, ponieważ „hasło główne” (które było hasłem Twojego konta Windows przed wymuszonym zresetowaniem go poza systemem Windows) nie pasuje, więc odszyfrowanie kończy się niepowodzeniem.
Dodatkowo, jeśli ktoś po prostu skopiuje plik bazy danych SQLite z hasłami Chrome i spróbuje uzyskać do niego dostęp na innym komputerze, ChromePass wyświetli puste hasła z tego samego powodu, co wyjaśniono powyżej.
Wniosek
Ostatecznie bezpieczeństwo haseł zapisanych w Chrome zależy całkowicie od użytkownika:
- Użyj bardzo silnego hasła do konta Windows. Pamiętaj, że są narzędzia, które potrafią rozszyfrować hasła systemu Windows . Jeśli ktoś otrzyma hasło do Twojego konta Windows, będzie miał dostęp do zapisanych haseł przeglądarki.
- Chroń się przed złośliwym oprogramowaniem. Jeśli narzędzia mogą łatwo uzyskać dostęp do zapisanych haseł, dlaczego nie ma złośliwego oprogramowania?
- Zapisz swoje hasła w systemie zarządzania hasłami, takim jak KeePass. Oczywiście tracisz wygodę automatycznego uzupełniania haseł przez przeglądarkę.
- Użyj narzędzia innej firmy, które integruje się z Chrome i używa hasła głównego do zarządzania Twoimi hasłami.
- Zaszyfruj cały dysk twardy za pomocą TrueCrypt. Jest to całkowicie opcjonalne i zapewniające ultra ochronę, ale jeśli ktoś nie może odszyfrować dysku, z pewnością nie może nic z niego wyciągnąć.
Najważniejsze jest po prostu zapewnienie bezpieczeństwa systemu, a hasła do Chrome również powinny być w miarę bezpieczne.
