Поширене запитання щодо браузера Google Chrome: "чому немає головного пароля?" Google (неофіційно) прийняв позицію, що головний пароль забезпечує помилкове відчуття безпеки, а найбільш життєздатною формою захисту цих конфіденційних даних є загальна безпека системи.
Тож наскільки надійно захищені ваші збережені дані пароля всередині Google Chrome?
Перегляд збережених паролів
Chrome включає власний менеджер паролів, який доступний через Параметри> Особисті речі> Керування збереженими паролями. Це нічого нового, і якщо ви дозволяєте Chrome зберігати ваші паролі, ви, мабуть, вже знаєте про цю функцію.
Приємною особливістю незначної безпеки є те, що спочатку потрібно натиснути кнопку показати поруч із кожним паролем, який потрібно переглянути.
Хоча доступ до цього екрану обмежений (тобто, якщо у вас є доступ до робочого столу, на якому встановлено Chrome, ви можете отримати доступ до паролів), для перегляду кожного пароля потрібно щонайменше втручання користувача без можливості експортувати їх масово у звичайний текстовий файл.
Де зберігаються дані пароля?
Збережені дані пароля зберігаються в базі даних SQLite, розташованій тут:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
Ви можете відкрити цей файл (ім'я файлу - просто "Дані для входу") за допомогою браузера баз даних SQLite і переглянути таблицю "логіни", що містить збережені паролі. Ви помітите, що поле "password_value" нечитабельне, оскільки значення зашифровано.
Наскільки захищені зашифровані дані?
Для виконання шифрування (у Windows) Chrome використовує функцію API, що надається Windows, яка робить зашифровані дані розшифровуваними лише за допомогою облікового запису користувача Windows, який використовується для шифрування пароля. Отже, по суті, ваш головний пароль - це пароль вашого облікового запису Windows. Як результат, як тільки ви ввійдете в Windows за допомогою свого облікового запису, ці дані буде розшифровуватися Chrome.
Однак, оскільки пароль вашого облікового запису Windows є постійним, доступ до "головного пароля" не є виключним для Chrome, оскільки зовнішні утиліти також можуть отримати та розшифрувати їх. Використовуючи безкоштовно доступну утиліту ChromePass від NirSoft, ви можете побачити всі збережені дані пароля та легко експортувати їх у звичайний текстовий файл.
Тому має сенс, що якщо утиліта ChromePass може отримати доступ до цих даних, шкідливе програмне забезпечення, що працює, як відповідний користувач, також може отримати до них доступ. Коли ChromePass.exe завантажується у VirusTotal , трохи більше половини антивірусних механізмів позначають це як небезпечне. Хоча в цьому випадку утиліта безпечна, трохи заспокійливо бачити, що така поведінка принаймні позначена багатьма AV-пакетами (хоча Microsoft Security Essentials не є одним із механізмів AV, який вважав це небезпечним).
Чи можна захист обійти?
Припустимо, ваш комп’ютер викрали і злодій скидає ваш пароль Windows для власного входу до вашої інсталяції. Якби вони спробували згодом переглянути паролі в Chrome або скористатися утилітою ChromePass, дані про пароль не будуть доступні. Причина проста, оскільки "головний пароль" (яким був пароль вашого облікового запису Windows до того, як вони примусово скинули його за межі Windows) не відповідає, тому розшифрування не вдається.
Крім того, якщо хтось просто скопіює файл бази даних SQLite SQLite SQLite і спробує отримати до нього доступ на іншому комп’ютері, ChromePass відображатиме порожні паролі з тієї самої причини, що пояснювалася вище.
Висновок
Зрештою, безпека збережених паролів Chrome повністю залежить від користувача:
- Використовуйте дуже надійний пароль облікового запису Windows. Майте на увазі, є утиліти, які можуть розшифрувати паролі Windows . Якщо хтось отримає пароль вашого облікового запису Windows, він матиме доступ до ваших збережених паролів браузера.
- Захистіть себе від шкідливих програм. Якщо утиліти можуть легко отримати доступ до ваших збережених паролів, чому не може зловмисне програмне забезпечення?
- Зберігайте свої паролі в системі управління паролями, такі як KeePass. Звичайно, ви втрачаєте зручність того, щоб браузер автоматично заповнював ваші паролі.
- Використовуйте сторонню утиліту, яка інтегрується з Chrome і використовує головний пароль для управління вашими паролями.
- Зашифруйте весь жорсткий диск за допомогою TrueCrypt. Це абсолютно необов’язково і стосується надзвичайно захисного, але якщо хтось не може розшифрувати ваш диск, він, безумовно, нічого з нього не витягне.
Суть полягає в тому, щоб захистити вашу систему, а паролі Chrome також повинні бути достатньо безпечними.
