Hvor sikker er de lagrede Chrome-nettleserpassordene dine?
Et vanlig spørsmål om Google Chrome-nettleseren er "Hvorfor er det ikke et hovedpassord?" Google har (uoffisielt) tatt posisjonen om at et hovedpassord gir en falsk følelse av sikkerhet, og den mest brukbare beskyttelsesformen for denne sensitive data er gjennom generell system sikkerhet.
Så nøyaktig hvor sikker er de lagrede passorddataene dine inne i Google Chrome?
Vise lagrede passord
Chrome inneholder sin egen passordbehandling som er tilgjengelig via Valg> Personlige saker> Administrer lagrede passord. Dette er ikke noe nytt, og hvis du tillater Chrome å lagre deg passord, er du sannsynligvis allerede klar over denne funksjonen.
En fin touch av mindre sikkerhet er at du må først klikke på showknappen ved siden av hvert passord du vil vise.
Mens det ikke er noen begrensninger for å få tilgang til denne skjermen (dvs. hvis du har tilgang til skrivebordet der Chrome er installert, kan du komme til passordene), det er minst brukerintervensjon som kreves for å vise hvert passord, uten å kunne eksportere dem i bulk til en vanlig tekstfil.
Hvor er passorddata lagret?
De lagrede passorddataene lagres i en SQLite-database som finnes her:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Brukerdata \ Standard \ Innloggingsdata
Du kan åpne denne filen (filnavnet er bare "Innloggingsdata") ved hjelp av SQLite Database Browser og se "logins" -tabellen som inneholder de lagrede passordene. Du vil merke at "password_value" -feltet er ulæsbart fordi verdien er kryptert.
Hvor sikkert er krypterte data?
For å utføre krypteringen (på Windows) bruker Chrome en Windows-gitt API-funksjon, noe som gjør at krypterte data bare deklareres av Windows-brukerkontoen som brukes til å kryptere passordet. Så hovedsakelig er ditt hovedpassord ditt Windows-passord. Som et resultat, når du er logget inn på Windows ved hjelp av kontoen din, kan disse dataene deklareres av Chrome.
Men fordi Windows-passordet ditt er en konstant, er tilgang til "masterpassordet" ikke eksklusivt for Chrome, da eksterne verktøy kan komme til disse dataene - og dekryptere det - også. Ved å bruke det frie tilgjengelige verktøyet ChromePass av NirSoft, kan du se alle dine lagrede passorddata og enkelt eksportere den til en ren tekstfil.
Så det er fornuftig at hvis ChromePass-verktøyet har tilgang til disse dataene, kan malware som kjører som den respektive brukeren også få tilgang til det. Når ChromePass.exe er lastet opp til VirusTotal, merker mer enn halvparten av anti-virusmotorer det som farlig. I dette tilfellet er verktøyet trygt, men det er litt betryggende å se at denne oppførselen i det minste er flagget av mange AV-pakker (selv om Microsoft Security Essentials ikke er en av AV-motorer som rapporterte det som farlig).
Kan beskyttelsen bli omgått?
Anta at datamaskinen din er stjålet og tyven tilbakestiller Windows-passordet ditt for å kunne logge inn på din installasjon. Hvis de skulle prøve å se passordene i Chrome eller bruke ChromePass-verktøyet, vil passorddataene ikke være tilgjengelige. Årsaken er enkel som "hovedpassordet" (som var ditt Windows-passord før de kraftig tilbakestille det utenfor Windows), stemmer ikke overens med at dekrypteringen mislykkes.
I tillegg, hvis noen bare skulle kopiere Chrome-passord-SQLite-databasefilen og prøve å få tilgang til den på en annen datamaskin, ville ChromePass vise tomme passord av samme grunn som forklart ovenfor.
Konklusjon
På slutten av dagen avhenger sikkerheten til de Chrome-lagrede passordene helt på brukeren:
- Bruk et veldig sterkt Windows-passord. Husk, det er verktøy som kan dechiffrere Windows-passord. Hvis noen får ditt Windows-passord, har de tilgang til de lagrede nettleserpassordene dine.
- Beskytt deg mot skadelig programvare. Hvis verktøyene har lett tilgang til de lagrede passordene dine, hvorfor kan det ikke være skadelig programvare?
- Lagre passordene dine i et passordstyringssystem som KeePass. Selvfølgelig, du mister bekvemmeligheten av å ha nettleseren automatisk fylle passordene dine.
- Bruk et tredjepartsverktøy som integreres med Chrome, og bruker et hovedpassord for å administrere passordene dine.
- Krypter hele harddisken din ved hjelp av TrueCrypt. Dette er helt valgfritt og for ultra-beskyttende, men hvis noen ikke kan dekryptere stasjonen, kan de sikkert ikke få noe av det.
Bunnlinjen er ganske enkelt å holde systemet ditt sikkert og Chrome-passordene dine bør også være rimelig sikre.
Last ned ChromePass fra NirSoft
Last ned SQLite Browser fra Sourceforge