Часто задаваемый вопрос о браузере Google Chrome: «Почему нет мастер-пароля?» Google имеет (неофициально) занимает позицию, согласно которой мастер-пароль создает ложное ощущение безопасности, и наиболее действенной формой защиты этих конфиденциальных данных является общая безопасность системы.
Так насколько же безопасны ваши сохраненные пароли в Google Chrome?
Просмотр сохраненных паролей
Chrome включает в себя собственный менеджер паролей, который доступен через «Параметры»> «Личные данные»> «Управление сохраненными паролями». В этом нет ничего нового, и если вы разрешите Chrome хранить ваши пароли, вы, вероятно, уже знаете об этой функции.
Приятным штрихом незначительной безопасности является то, что вы должны сначала нажать кнопку «Показать» рядом с каждым паролем, который хотите просмотреть.
Хотя нет ограничений на доступ к этому экрану (т.е. если у вас есть доступ к рабочему столу, на котором установлен Chrome, вы можете получить доступ к паролям), для просмотра каждого пароля требуется как минимум вмешательство пользователя без возможности их массового экспорта. в обычный текстовый файл.
Где хранятся данные пароля?
Сохраненные данные пароля хранятся в базе данных SQLite, расположенной здесь:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Вы можете открыть этот файл (имя файла просто «Данные для входа») с помощью браузера базы данных SQLite и просмотреть таблицу «логины», содержащую сохраненные пароли. Вы заметите, что поле «password_value» не читается, потому что значение зашифровано.
Насколько безопасны зашифрованные данные?
Для выполнения шифрования (в Windows) Chrome использует предоставляемую Windows функцию API, которая делает зашифрованные данные дешифруемыми только для учетной записи пользователя Windows, используемой для шифрования пароля. По сути, ваш главный пароль - это пароль вашей учетной записи Windows. В результате, как только вы войдете в Windows, используя свою учетную запись, эти данные будут расшифрованы Chrome.
Однако, поскольку пароль вашей учетной записи Windows является постоянным, доступ к «главному паролю» не является эксклюзивным для Chrome, поскольку внешние утилиты могут получить доступ к этим данным и расшифровать их. Используя свободно распространяемую утилиту ChromePass от NirSoft, вы можете просмотреть все сохраненные пароли и легко экспортировать их в текстовый файл.
Поэтому логично, что если утилита ChromePass может получить доступ к этим данным, вредоносное ПО, запущенное от имени соответствующего пользователя, также сможет получить к ним доступ. Когда ChromePass.exe загружен в VirusTotal , чуть более половины антивирусных движков помечают его как опасный. Хотя в этом случае утилита безопасна, немного обнадеживает то, что такое поведение, по крайней мере, отмечается многими антивирусными пакетами (хотя Microsoft Security Essentials не является одним из антивирусных движков, которые сообщили об этом как опасном).
Можно ли обойти защиту?
Предположим, ваш компьютер украден, и вор сбрасывает ваш пароль Windows чтобы изначально войти в вашу установку. Если бы они впоследствии попытались просмотреть пароли в Chrome или использовать утилиту ChromePass, данные о пароле были бы недоступны. Причина проста: «главный пароль» (который был паролем вашей учетной записи Windows до того, как они принудительно сбросили его за пределами Windows) не совпадает, поэтому расшифровка не выполняется.
Кроме того, если кто-то просто скопирует файл базы данных SQLite паролей Chrome и попытается получить к нему доступ на другом компьютере, ChromePass отобразит пустые пароли по той же причине, что описана выше.
Вывод
В конце концов, безопасность сохраненных паролей Chrome полностью зависит от пользователя:
- Используйте очень надежный пароль учетной записи Windows. Имейте в виду, есть утилиты, которые могут расшифровывать пароли Windows . Если кто-то получит пароль от вашей учетной записи Windows, он получит доступ к вашим сохраненным паролям браузера.
- Защитите себя от вредоносных программ. Если утилиты могут легко получить доступ к вашим сохраненным паролям, почему нет вредоносных программ?
- Сохраните свои пароли в системе управления паролями, такой как KeePass. Конечно, вы теряете удобство того, что браузер автоматически вводит пароли.
- Используйте стороннюю утилиту, которая интегрируется с Chrome и использует мастер-пароль для управления вашими паролями.
- Зашифруйте весь жесткий диск с помощью TrueCrypt. Это совершенно необязательно и для сверхзащиты, но если кто-то не может расшифровать ваш диск, он наверняка ничего не получит от него.
Суть в том, чтобы просто обеспечить безопасность вашей системы, и ваши пароли Chrome также должны быть достаточно безопасными.
