Насколько безопасно хранить пароли в Google Chrome

Обновлено: 05.07.2024

Если веб-браузеру, такому как Chrome, Firefox или Safari, разрешено хранить пароли, вы подвергаете риску свою сетевую безопасность.

Пароли. Они являются проклятием для многих пользователей. Тем не менее, это один из немногих способов защитить наши учетные записи, и эти учетные записи часто подвергаются взлому. ИТ-специалисты всегда подталкивают пользователей к созданию безопасных паролей — например, к созданию профилей паролей, предъявляющих особые требования.

Обязательно к прочтению статьи о безопасности

И тем не менее, как бы мы ни старались заблокировать эти аккаунты, они по-прежнему уязвимы.

Во-первых, даже несмотря на постоянные предупреждения, пользователи по-прежнему настаивают на вводе паролей, таких как 12345 или пароль. Даже когда эти пользователи используют невероятно сложные пароли, на пути к действительно безопасному сетевому опыту остается препятствие. Упомянутая блокировка — это когда веб-браузеру разрешено хранить пароли.

Конечно, это удобно. В конце концов, кто захочет вводить пароль каждый раз, когда его запрашивают? Когда вы используете большое количество онлайн-сервисов, ввод пароля каждый раз, когда вы используете указанный сервис, может снизить вашу производительность. И когда эти пароли невероятно сложны, так что вы должны использовать диспетчер паролей, эффективность уходит в окно.

И все же, даже в ущерб производительности, есть очень веская причина, по которой вы никогда не должны позволять веб-браузеру запоминать ваши пароли. Причина в том, насколько легко просматривать пароли в современных веб-браузерах. В Linux (я предпочитаю эту платформу) Chrome позволит пользователям просматривать сохраненные логины, даже не требуя пароля пользователя (в отличие от Windows и macOS, где требуется пароль пользователя). Firefox, с другой стороны, дает мгновенный доступ к этим паролям без аутентификации, независимо от платформы (если не установлен мастер-пароль). Как и Chrome, Safari по крайней мере скрывает пароли за паролем пользователя. Разница между Firefox и Safari заключается в том, что пароль не является обязательным в браузере Apple.

С паролем или без, эти сохраненные логины доступны для просмотра любому.

Насколько легко просматривать сохраненные пароли?

Обновление: если вы используете платформы Windows 10 или macOS, вам будет предложено ввести пароль пользователя для доступа к сохраненным паролям в Chrome. Linux, с другой стороны, предоставляет пользователю мгновенный доступ без запроса аутентификации. Однако существует множество доступных инструментов (таких как iSumsoft Windows Password Refixer), которые позволяют пользователю сбросить пароль Windows и обойти это препятствие. Firefox предоставит вам доступ к этим паролям без аутентификации, независимо от платформы.

Однако даже в операционных системах Windows и macOS есть способы обойти запрос пароля. Например, используя окно браузера Inspect Element, вы можете отредактировать код страницы таким образом, чтобы он не хэшировал пароль пользователя. Для этого:

  1. Щелкните правой кнопкой мыши поле пароля на веб-сайте.
  2. Выберите «Проверить элемент».
  3. Дважды щелкните type="password" и замените пароль на текст.
  4. Нажмите Enter и закройте инспектор элементов.
  5. Пароль не будет хэширован и открыт для всех.

Описанные выше шаги работают независимо от браузера или платформы.

Позвольте мне продемонстрировать еще один способ просмотра сохраненных паролей в трех упомянутых браузерах. Помните, что это работает только с паролями, которые хранятся в браузере. Сначала мы рассмотрим Chrome. Чтобы просмотреть сохраненные пароли в Chrome, выполните следующие действия:

  1. Откройте Chrome.
  2. Нажмите кнопку "Меню" и выберите "Настройки".
  3. Прокрутите до пункта Автозаполнение и нажмите Пароли.
  4. Найдите пароль, который хотите просмотреть, и щелкните значок глаза (рис. A).
  5. В операционной системе Linux вам не будет предложено ввести пароль пользователя. В macOS и Windows вам потребуется аутентифицировать пользователя, прежде чем пароли будут перечислены.
  6. Наслаждайтесь этим паролем.

Рисунок А


< /p>

Чтобы проделать тот же трюк в Firefox, сделайте следующее:

  1. Откройте Firefox.
  2. Откройте меню и выберите "Настройки".
  3. Нажмите Конфиденциальность & Безопасность (на левой панели).
  4. Прокрутите до пункта Логины и amp; Пароли.
  5. Нажмите «Сохраненные логины».
  6. Нажмите «Показать пароли» (рис. Б).
  7. Наслаждайтесь своими паролями.

Рисунок Б


< /p>

Единственное предостережение относительно действий в Firefox – это использование мастер-пароля. В этом случае вам будет предложено ввести этот пароль после нажатия «Показать пароли».Без мастер-пароля вы не сможете просмотреть сохраненные учетные данные.

Теперь давайте рассмотрим Safari. Вот шаги для просмотра паролей в браузере Apple.

  1. Откройте Safari.
  2. Откройте меню Safari на верхней панели и выберите «Настройки».
  3. Перейдите на вкладку "Пароли".
  4. При появлении запроса введите пароль или используйте датчик отпечатков пальцев (если он доступен).
  5. Нажмите на веб-сайт, который хотите просмотреть (рис. C).
  6. Наслаждайтесь этим паролем.

Рисунок C


< /p>

Очевидно, что Safari имеет здесь преимущество только потому, что требует использования пароля для просмотра сохраненных учетных данных. Если учетные данные, хранящиеся в Firefox, заблокированы мастер-паролем, это ставит браузер Mozilla в такое же положение. Что касается Chrome, ваши сохраненные пароли доступны для всех, они неограничены и незащищены.

Что делать?

Ответ на этот вопрос прост. Не позволяйте браузеру сохранять ваши пароли. Никто из них. Не один. Если вы это сделаете, эти пароли уязвимы. Все, что нужно сделать кому-то, — это получить доступ к вашему компьютеру (удаленный или физический), и, если вы не используете Safari или функцию мастер-пароля в Firefox, эти пароли доступны для всех.

Если вам абсолютно необходимо, чтобы ваш браузер сохранял ваши пароли, и вы не используете macOS, обязательно используйте Firefox и включите функцию мастер-пароля. Используйте Chrome, рискуя своими паролями.

Вместо веб-браузера, хранящего ваши пароли, используйте диспетчер паролей. Таким образом, вероятность того, что кто-то просматривает ваши пароли, значительно снижается. Это не идеально, но это намного лучше, чем передавать безопасность ваших паролей веб-браузеру.

Пословица "Лучше перестраховаться, чем потом сожалеть" безусловно применима.

Человек, использующий портативный компьютер». /><br /></p> <h3>Информационный бюллетень TechRepublic Premium Exclusives</h3> <p>Экономьте время с последними загрузками TechRepublic Premium, включая оригинальные исследования, настраиваемые шаблоны ИТ-политики, готовые презентации для обучения, инструменты для найма ИТ-специалистов, калькуляторы рентабельности инвестиций и многое другое. Эксклюзивно для вас!</p> <p>Доставка по вторникам и четвергам</p> <p><img class=


Изображение: Джек Уоллен

Спасибо, что связались с нами. Мы получили вашу заявку.

ИТ-исследователи предупреждают людей не хранить свои пароли в интернет-браузерах, таких как Google Chrome.

ИТ-исследователи предупреждают людей не хранить свои пароли в интернет-браузерах, таких как Google Chrome. Шаттерсток

Первоначально опубликовано:

Эксперты утверждают, что хакеры охотятся за людьми, работающими дома, из-за паролей, хранящихся в веб-браузерах, утверждают эксперты.

Сохранение паролей в таких браузерах, как Chrome и Edge, является довольно распространенной практикой и обычно считается достаточно безопасным.

Они созданы для того, чтобы вам не приходилось запоминать данные для входа на каждый сайт, которым вы пользуетесь.

Но теперь ИТ-исследователи предостерегают от использования таких функций в любом браузере из-за недавнего нарушения безопасности, которое поставило под угрозу компанию.

Похоже, злоумышленники используют тот факт, что офисные работники в Великобритании и США вынуждены работать из дома из-за продолжающейся пандемии коронавируса.

По словам экспертов по безопасности AhnLab, сотрудник, работавший удаленно, стал жертвой, поскольку использовал VPN для доступа к сети своей компании.

Человек невинно выполнял свою работу на устройстве, совместно используемом с другими людьми, с которыми они живут, не подозревая, что оно уже заражено неприятным вредоносным ПО для кражи информации под названием Redline Stealer.

Это привело к краже конфиденциальных данных учетной записи и паролей с различных сайтов, в том числе информации для доступа к VPN компании.

Три месяца спустя хакеры использовали его, чтобы войти в систему и получить доступ к личным бизнес-данным.

И что еще хуже, на компьютере было установлено антивирусное программное обеспечение, но вредоносное ПО смогло обойти его.

«Хотя функция хранения учетных данных в браузерах очень удобна, так как существует риск утечки учетных данных при заражении вредоносным ПО, пользователям рекомендуется воздержаться от ее использования и использовать только программы из открытых источников», — говорится в сообщении AhnLab.

Сообщается, что хакеры нацелились на людей, которые работают дома из-за пандемии COVID-19.

Сообщается, что хакеры атаковали людей, которые работают из дома из-за пандемии COVID-19. Шаттерсток

Redline Stealer довольно дешев, и его легко найти в даркнете, а это означает, что трудно отследить инцидент до конкретной группы.

Удержание стоит всего 150 долларов США.

Вредоносный инструмент впервые появился в марте 2020 года, как раз в момент начала распространения пандемии.

Это происходит на фоне огромного всплеска мошенничества в связи с нежелательным появлением COVID-19.

Миллионы людей стали мишенью мошенничества с COVID Pass, выманивающего у людей деньги и конфиденциальные данные, а также широко распространены фальшивые уколы.

В таких браузерах, как Chrome и Mozilla Firefox, можно сохранять имена пользователей и пароли для быстрого доступа к веб-сайтам. Но безопасно ли хранить ваши учетные данные для входа? Читайте дальше, чтобы узнать.



ГЛАВНОЕ

  • Google сообщает, что Chrome шифрует ваше имя пользователя и пароль с помощью "секретного ключа".

В наши дни у людей много учетных записей в Интернете, что затрудняет запоминание всех паролей. В Chrome удобно сохранять данные для входа на серверы Google, чтобы упростить управление паролями. Однако Chrome не одинок. Другие браузеры, такие как Mozilla Firefox, также позволяют сохранять имена пользователей и пароли для быстрого доступа к веб-сайтам. Но задумывались ли вы когда-нибудь, безопасно или опасно сохранять ваши пароли в Chrome, Google или любом другом браузере? Давайте поговорим об этом.

Безопасно ли хранить пароли в Chrome или других браузерах?

По словам Google, Chrome шифрует ваше имя пользователя и пароль с помощью "секретного ключа", известного только вашему устройству. И это происходит до того, как данные будут сохранены на серверах Google, а это значит, что никто, включая Google, не сможет получить доступ к вашему имени пользователя или паролю.

Если вы посетите раздел диспетчера паролей своей учетной записи Google, вы узнаете, что даже вы не можете получить доступ к своему идентификатору или паролям. Да, ты читал, да. Поисковый гигант сначала попросит вас ввести пароль от вашей учетной записи Gmail, после чего вы сможете проверить детали.

Хотя Google никогда не отправляет предупреждение, когда вы или, например, кто-то другой пытается получить доступ к вашим паролям, хорошо, что вы не получаете доступ ко всем паролям сразу. Так, например, если вы хотите проверить свое имя пользователя и пароль Facebook, нажмите на него и введите свой пароль Gmail. После этого вы сможете проверить учетные данные для входа.

Это хорошая практика, но вы не получаете специальных предупреждений об этом. Такие браузеры, как Firefox, даже не следуют этой практике, и нет возможности добавить защитный PIN-код для защиты идентификатора и паролей, которые вы храните на своих серверах. Хотя Firefox говорит, что ваши данные «защищены», похоже, это не так, поскольку можно просто открыть или взломать ваш ноутбук, получить доступ к учетным данным для входа в «Настройки»> «Конфиденциальность и безопасность»> «Логины и пароли».

Как бы то ни было, хранить данные для входа в любом браузере, включая Chrome, по-прежнему небезопасно, так как вы не всегда получаете полную защиту и всегда связаны риски. Например, если ваш ноутбук взломан, ваши данные могут быть скомпрометированы. Если ваша учетная запись Gmail будет взломана, то человек сможет легко войти в любую учетную запись или сайт, которые вы сохранили на серверах Google. Вы могли заметить, что после входа в Gmail на новом устройстве вам не нужно снова входить в Play Маркет, Chrome, Google Фото или Диск. Вы можете легко получить доступ ко всему, просто войдя в Gmail.

Что вы можете сделать?

Если пароли ваших Facebook, Outlook, банковских и других учетных записей сохранены в Google, вам следует немедленно удалить их. Хотя некоторые банковские сайты имеют двухэтапную систему проверки и следуют некоторым протоколам безопасности, хакеру может быть сложно взломать их. Но рекомендуется не вводить учетные данные какой-либо учетной записи.

Сайты или учетные записи, которые не так важны, могут оставаться в списке диспетчера паролей.

Есть причина, по которой людей просят включить двухфакторную аутентификацию (2FA), поскольку для этого требуется не только ввести основной пароль, но и дополнительный пароль, PIN-код или одноразовый пароль, которые никто не знает. Это не означает, что двухфакторная аутентификация полностью защищена от взлома, поскольку исследователи из Университета Стоуни-Брук и компании по кибербезопасности Palo Alto Networks обнаружили, что некоторые «фишинговые инструменты», такие как атаки «Человек посередине» (MITM), могут достичь этого. Хотя люди мало что могут с этим поделать, они могут сделать одно — следовать основным правилам, чтобы хакерам было труднее получить доступ к вашим данным.Обязательно включите двухфакторную аутентификацию для каждой вашей онлайн-учетной записи, и вы должны менять пароли каждый месяц.

Старайтесь использовать уникальные пароли, добавляйте дополнительные пароли или PIN-коды. Очень важно использовать 2FA для своей учетной записи Google и добавить адрес электронной почты для восстановления в ту же учетную запись. Таким образом, если ваш аккаунт будет взломан, вы сможете немедленно восстановить его, используя дополнительный аккаунт Gmail.

Как удалить пароли из Chrome?

Просто введите "Google Password Manager" в браузере, и он отобразит официальный сайт Google вверху. Нажмите на нее и выберите любой сайт или учетную запись, которые вы не хотите, чтобы Chrome хранил на своих серверах. Затем поисковый гигант попросит вас ввести пароль Gmail, после чего вы сможете его удалить.

Здесь уже есть несколько вопросов в том же духе, но им почти десять лет. Я хотел бы знать, изменилось ли что-то, особенно сейчас, когда Chrome стал более агрессивно просить пользователей сохранять свои пароли, и эти пароли связаны с облачной учетной записью.

Есть много разглагольствований о текущей политике сохранения паролей в Chrome и множество статей, предупреждающих об этом. Однако я не знаю, согласен ли я с ними всеми.

Некоторые очевидные наблюдения:

Против

  • Если кто-то получит физический доступ к вашему компьютеру, между ними будет только пароль ОС и все пароли, которые вы когда-либо сохраняли.
  • Кто-то потенциально может взломать ваш аккаунт Google, войти в Chrome, а также получить доступ ко всем вашим паролям.
  • Не существует «мастер-пароля» (кроме пароля вашей ОС), чтобы защитить их, если кто-то войдет в систему и получит доступ к вашему компьютеру.
  • Согласно HaveIBeenPwned, мой адрес электронной почты и пароли были опубликованы в Интернете десятки раз благодаря взлому веб-сайтов. (Включая крупные компании, такие как Adobe, LinkedIn, Kickstarter и т. д., и это только известные взломы.) За это время у меня ни разу не было кражи компьютера или нарушения физической безопасности.< /li>
  • Если я буду использовать уникальный сгенерированный пароль на каждом веб-сайте и сохраню его в Chrome, никакие учетные записи других веб-сайтов не станут уязвимыми из-за нарушения безопасности другого веб-сайта.
  • Вероятно, я доверяю Google в обнаружении необычных действий и защите от них больше, чем любой другой онлайн-службе (что, разумеется, не означает, что они безошибочны).

С точки зрения векторов атак, если вы чувствуете, что с большей вероятностью подвергнетесь физической атаке (или атаке со стороны кого-то из ваших знакомых), то сохранение паролей в браузере может быть очень плохой идеей.< /p>

Однако, если вы более подвержены удаленным атакам со стороны незнакомцев, хранение уникальных паролей на каждом веб-сайте повысит безопасность вашей личной информации. (В любом случае это, очевидно, было бы идеальным, но безопасность должна учитывать практичность, а средний пользователь не будет помнить уникальный пароль для каждого веб-сайта.)

(Интересно, было бы лучшим решением по сравнению с текущим решением Chrome (которое позволяет пользователям повторно использовать легко угадываемые пароли на разных веб-сайтах) заставить (или поощрять) пользователя сохранять только уникальные и сложные пароли?)

Каковы плюсы и минусы в реальных сценариях?

Я всегда следовал общему правилу, согласно которому вы никогда не должны хранить пароли, записывая их или сохраняя в цифровом виде. Но на самом деле все сводится к удобству и безопасности. Еще одна вещь, которую следует учитывать, — это телефон. у моего приятеля произошла подмена сим-карты, и это было для него настоящей болью.

@pcalkins Именно это, я считаю, сделает вас более уязвимыми для взлома. Очевидно, что вы не можете запомнить полностью уникальный 16-символьный пароль для каждого веб-сайта, который вы посещаете, поэтому, скорее всего, у вас (как и у большинства людей) будет небольшая постоянная база паролей, между которыми вы переключаетесь. Когда один из этих веб-сайтов будет взломан (что почти наверняка), то может произойти утечка одного из ваших стабильных паролей, что откроет другие ваши учетные записи для хакеров. Очевидно, вы можете оказаться в ситуации, когда боитесь физической атаки больше, чем удаленной, и в этом случае достаточно справедливо, но в остальном.

Firefox вполне безопасен; см. ссылки, которые я разместил в комментарии к опубликованному ответу. Есть исходный код и криптографический дизайн, которые вы можете выбрать, если почувствуете необходимость. Должен сказать, что я просмотрел дизайн криптографии, когда он был опубликован, и нашел его вполне приемлемым.

@InterLinked Я настоятельно рекомендую не использовать зашифрованный файл Excel. Как правило, вам следует использовать специально созданное программное обеспечение, а не создавать собственную смесь.

2 ответа 2

Не так хорош, как менеджер паролей, лучше, чем ничего.

За безопасность часто приходится платить удобством, а за удобство часто приходится платить безопасностью. Менеджеры паролей, встроенные в браузеры, в первую очередь нужны для удобства, а безопасность играет меньшую роль.Причина такого решения в том, что обычных пользователей легче убедить использовать удобную для них систему, а не более безопасную, но более сложную в использовании систему.

Поскольку вы спросили о плюсах и минусах реальных сценариев, я подробно расскажу о плюсах и минусах использования встроенного в браузер менеджера паролей по сравнению с автономным менеджером паролей, таким как Keepass, и вообще не использую менеджер паролей. .

Использование встроенного в браузер менеджера паролей:

Плюсы

  • Он у вас уже есть. В наши дни все используют браузеры, и все основные браузеры поставляются со встроенными менеджерами паролей. Это означает, что с точки зрения обычного пользователя входной барьер невероятно низок.
  • Это препятствует повторному использованию пароля. Людям не нравится запоминать пароли, поэтому они точно не запомнят по одному паролю на каждый сайт. Если браузер автоматически предлагает надежный пароль при регистрации, то у пользователя не будет соблазна повторно использовать для него существующий пароль. Кроме того, пароли, предлагаемые диспетчером паролей, скорее всего, не будут взломаны злоумышленниками, даже если хэши будут украдены.
  • Он синхронизируется с другими моими устройствами. Пользователь может зарегистрироваться в службе на своем компьютере, а затем использовать ту же услугу на своем телефоне, не беспокоясь о синхронизации паролей. Это огромный плюс!

Минусы

Он не защищает от локальных атак. Злоумышленники, которые могут иметь доступ к компьютеру пользователя (представьте себе ревнивую подругу, а не правительственное учреждение), могут довольно легко получить пароли. Имея доступ к браузеру, например, когда пользователь забыл заблокировать свой компьютер, все пароли могут быть считаны за считанные минуты.

Следует отметить, что локальные атаки беспокоят не каждого пользователя. Например, я живу один, и в моей модели угроз нет локального злоумышленника.

Увеличивает поверхность атаки. Если синхронизация между устройствами включена, то безопасность всех моих учетных записей привязана к безопасности учетной записи производителя моего браузера. Кроме того, хотя это маловероятно, но не невозможно, злоумышленник может украсть зашифрованные учетные данные всех пользователей, а затем начать их по крупицам взламывать.

Поскольку моя парольная фраза состоит из 72 символов и я использую YubiKey, меня не слишком беспокоит, что кто-то войдет в мою учетную запись Google, но это может быть причиной, по которой вы не захотите включать синхронизацию.

Привязка к поставщику. Насколько мне известно, браузеры еще не предлагают какого-либо способа экспортировать все учетные данные в какой-либо унифицированный формат. Это означает, что если у вас есть 200 учетных данных, сохраненных в Chrome, и вы решили переключиться на Firefox. хорошо, получайте удовольствие.

Использование специального автономного менеджера паролей:

Плюсы

Улучшенная защита от локальных атак. Поскольку пароли хранятся в зашифрованном файле, который защищен мастер-паролем и, при необходимости, файлом ключа, злоумышленник с локальным доступом, скорее всего, не сможет украсть ваши пароли. В случае, если вы забыли заблокировать свой компьютер, многие менеджеры паролей имеют настройки, позволяющие «забыть» ключ после периода бездействия. Хотя это не защищает вас полностью, это намного лучше, чем встроенный менеджер паролей.

Улучшенная настройка. Встроенный менеджер паролей браузера может столкнуться с проблемами при работе с сайтами, политика паролей которых не соответствует требованиям, поэтому специальный менеджер паролей может генерировать пароли в соответствии с заданным набором правил.

Работает вне браузера. Иногда мне нужно сгенерировать пароли для отправки другими способами, такими как текстовые сообщения, или использовать их внутри виртуальной машины. В этом случае встроенный менеджер паролей браузера просто не подходит.

Минусы

Более высокий порог входа. Пользователи, не имеющие опыта работы в области безопасности, вряд ли будут искать менеджер паролей, а если и будут, то их, скорее всего, отпугнут различные предложения, такие как онлайн-менеджеры паролей, автономные менеджеры паролей и т. д. Кроме того, большинство автономные менеджеры паролей имеют довольно много очень удобных функций, которые, вероятно, сбивают с толку тех, кто «просто хочет использовать Интернет».

Не синхронизируется между устройствами. Поскольку мои пароли — это просто файл, он не синхронизируется автоматически между моими устройствами. Если у меня есть настольный ПК, ноутбук и смартфон, то я либо вручную синхронизирую свою базу паролей между ними, либо использую для этого какой-либо сторонний сервис (например, Dropbox, Google Drive и т. д.)

Не использовать менеджер паролей:

Плюсы

  • Работает везде. Часто мне нужно ввести какую-либо форму аутентификации, когда я просто не могу использовать диспетчер паролей, например, для моего пароля BitLocker или моего пароля домена Windows. В таких случаях запомнить надежный пароль — единственный выход, который у меня есть.

Минусы

Поощряет использование слабых паролей. Я не запомню пароль типа _B+5ZzRk!4vd2+5Q?qw$=9V , это факт.Я могу вспомнить длинную кодовую фразу, например, «Два синих кролика перепрыгивают через квадратное дерево и взрываются». , но это довольно сложно вводить каждый раз, когда я хочу войти в систему. Таким образом, большинство пользователей будут стремиться к максимально короткому паролю, который они считают «достаточно хорошим», и обычно это что-то вроде BostonNovember2020 .

Поощряет повторное использование пароля. «Я уже придумал пароль или кодовую фразу, а теперь вы хотите, чтобы я запомнил второй? Даже третий!? Что вы имеете в виду, что мне нужно запоминать новую парольную фразу для каждой службы, которую я использую?!» – Вот почему люди повторно используют пароли.

Вердикт

Выделенные менеджеры паролей — это отличный вариант с высоким уровнем безопасности, предлагающий тонну настроек. Однако, как и многие инструменты, предназначенные для экспертов, новичкам может быть сложно их использовать.

Встроенные менеджеры паролей являются хорошим компромиссом для людей, не являющихся техническими специалистами, повышая их безопасность от вероятных угроз, но делая их менее защищенными от маловероятных угроз.

Отсутствие диспетчера паролей следует использовать только в тех случаях, когда менеджер паролей недоступен.

Приложение A: Как локальный злоумышленник может получить пароли?

Одним из недостатков браузерных менеджеров паролей является то, что они не защищают от локальных атак. Я объясню одну возможную локальную атаку в демонстрационных целях:

Предположим, что Боб хранит все свои пароли в Chrome. Боб выходит из дома, чтобы купить продукты, и забыл заблокировать свой компьютер. Ева, ревнивая подруга Боба, подозревает, что Боб может быть ей неверен, и хочет проверить свои различные онлайн-аккаунты, чтобы узнать, флиртует ли он с другими женщинами. У нее есть около 30 минут прямого доступа к его браузеру.

Первое, что делает Ева, — открывает внутреннюю страницу паролей Chrome. Это можно сделать через меню настроек или напрямую по адресу chrome://settings/passwords. В этом списке Ева видит все страницы, для которых сохранены пароли, а также соответствующие логины. Уже одно это может раскрывать конфиденциальную информацию. На этой странице Ева могла бы нажать кнопку "Показать пароль", но при этом ей будет предложено ввести пароль ОС Боба, которого у нее нет.

Однако она по-прежнему может вручную восстановить пароль для произвольных сайтов. Например, ее больше всего волнуют сайты bookofface.es и birds.app. Она может вручную переходить на эти сайты, где ее встречает форма входа в систему. Браузер автоматически введет учетные данные Боба в форму входа, но пароль будет скрыт из-за свойства type="password" поля ввода. При открытии консоли разработчика и удалении этого атрибута пароль отображается в виде открытого текста.

Хотя этот процесс не такой быстрый, как сценарий "копировать все пароли", его все же можно выполнить за разумное время. В зависимости от целей злоумышленников одни сайты могут быть более актуальными, чем другие. Таким образом, в то время как у Боба могут быть сохранены пароли для сотен сайтов, Еву может интересовать только пара.


Я считаю необходимым упомянуть, что многие менеджеры паролей предлагают варианты синхронизации, многие из которых имеют архитектуру с нулевым разглашением. Вы говорите так, будто офлайн — единственный вариант.

@Ben Нет, автономный режим — не единственный вариант, но я лично использовал только автономные менеджеры паролей. Мне неудобно говорить об онлайн-менеджерах паролей, если у меня нет опыта работы с ними.

@DjangoReinhardt Площадь атаки увеличивается по сравнению с отсутствием использования диспетчера паролей браузера. Я думаю, в этом разделе объясняется, что у злоумышленника теперь есть еще несколько путей, чтобы добраться до моих паролей. Тот факт, что это делает другие векторы менее вероятными, не имеет значения. Поверхность по-прежнему увеличена.

@learning2learn Для Windows вы можете просто использовать что-то вроде ChromePass или, если вы немного разбираетесь в программировании, вы можете сделать версию, более подходящую для вашей ситуации.

@learning2learn Кто-то, кого я знаю, когда-то хотел получить пароли от чьего-то компьютера, но мог получить доступ к компьютеру только под присмотром владельца, поэтому они написали похититель паролей, который был замаскирован под текстовый файл. Затем они подошли к компьютеру, подключили USB-накопитель, чтобы «показать» что-то владельцу, дважды щелкнули замаскированный «текстовый» файл, чтобы запустить его, а затем спокойно продолжили открывать настоящий файл, который хотели показать. Тем временем похититель паролей сохранил копии всех паролей на USB-накопителе, который они забрали с собой.

К сожалению, я не могу комментировать Chrome, так как давно им не пользовался. Однако, например, Firefox поддерживает использование мастер-пароля, что означает, что хранилище на диске зашифровано, и это защищает от большинства физических атак.

Не похоже, чтобы мастер-пароль был общим для всех устройств, на которых выполнен вход в систему, что заставляет меня предположить, что ваши пароли зашифрованы локально, но при отправке в вашу учетную запись Firefox Mozilla сможет прочитать ваши пароли. Если вы не доверяете поставщику своего браузера, вам, вероятно, не следует использовать встроенный менеджер паролей браузера, поэтому вам не следует входить в свою учетную запись Google/Firefox или, по крайней мере, вам следует отключить синхронизацию паролей.

Как вы упомянули, с практической точки зрения браузер автоматически генерирует и заполняет пароли для вас, это довольно полезная функция, и для большинства пользователей навязывание ее по умолчанию, вероятно, является хорошей идеей. Это позволяет избежать проблем, связанных с повторным использованием пароля на общедоступных веб-сайтах, а тот факт, что он встроен в браузер, означает, что все больше людей используют тот или иной менеджер паролей, и любой (если вы ему доверяете) лучше, чем ничего.

Если вы не доверяете встроенному в браузер диспетчеру паролей, у вас, очевидно, есть несколько вариантов. Существуют сторонние расширения, или вы можете использовать аппаратный токен, оба из которых решат большинство проблем, связанных с безопасностью браузера. Кроме того, промежуточным решением было бы использование общесистемного менеджера паролей. Например, я использую HP Client Security, потому что везде у меня есть удобный менеджер паролей, а также у меня больше возможностей (я использую отпечаток пальца + PIN-код, который я считаю достаточно безопасным).

Если вы считаете, что менеджер паролей браузера слишком небезопасен, вы можете использовать менеджер паролей браузера для случайных одноразовых учетных записей на случайных сайтах, которые вам не интересны, а затем использовать более надежный менеджер паролей (ваш мозг хороший вариант) для наиболее важных паролей (основной адрес электронной почты, системные пароли и, возможно, онлайн-хранилище файлов). Таким образом, вы не держите все яйца в одной корзине.

Читайте также: