Πώς είναι ασφαλείς οι αποθηκευμένοι κωδικοί πρόσβασης του προγράμματος περιήγησης Chrome;

Μια κοινή ερώτηση σχετικά με το πρόγραμμα περιήγησης Google Chrome είναι "γιατί δεν υπάρχει ένας κύριος κωδικός πρόσβασης;" Η Google έχει (ανεπίσημα) λάβει τη θέση ότι ένας κύριος κωδικός πρόσβασης παρέχει εσφαλμένη αίσθηση ασφάλειας και η πιο βιώσιμη μορφή προστασίας για αυτά τα ευαίσθητα δεδομένα είναι μέσω της συνολικής ασφάλειας του συστήματος.

Έτσι ακριβώς πόσο ασφαλείς είναι τα αποθηκευμένα δεδομένα κωδικού πρόσβασης στο Google Chrome?

Προβολή αποθηκευμένων κωδικών πρόσβασης

Το Chrome περιλαμβάνει τον δικό του διαχειριστή κωδικών πρόσβασης, ο οποίος είναι προσπελάσιμος από το Επιλογές> Προσωπικά στοιχεία> Διαχείριση αποθηκευμένων κωδικών πρόσβασης. Αυτό δεν είναι κάτι καινούργιο και εάν επιτρέπετε στο Chrome να αποθηκεύει τους κωδικούς σας, πιθανότατα γνωρίζετε ήδη αυτό το χαρακτηριστικό.

Μια ωραία πινελιά ασήμαντης ασφάλειας είναι ότι πρέπει πρώτα να κάνετε κλικ στο κουμπί εμφάνισης δίπλα σε κάθε κωδικό πρόσβασης που θέλετε να δείτε.

Παρόλο που δεν υπάρχει κανένας περιορισμός πρόσβασης σε αυτή την οθόνη (δηλαδή εάν έχετε πρόσβαση στην επιφάνεια εργασίας όπου είναι εγκατεστημένο το Chrome, μπορείτε να φτάσετε στους κωδικούς πρόσβασης), απαιτείται τουλάχιστον παρέμβαση του χρήστη για να δείτε κάθε κωδικό πρόσβασης χωρίς να μπορείτε να τα εξαγάγετε χύμα σε ένα αρχείο απλού κειμένου.

Πού αποθηκεύονται τα δεδομένα κωδικού πρόσβασης?

Τα αποθηκευμένα δεδομένα κωδικού πρόσβασης αποθηκεύονται σε μια βάση δεδομένων SQLite που βρίσκεται εδώ:

% UserProfile% \ AppData \ Local \ Google \ Chrome \ Δεδομένα χρήστη \ Προεπιλογή \ Δεδομένα σύνδεσης

Μπορείτε να ανοίξετε αυτό το αρχείο (το όνομα του αρχείου είναι απλώς "Login Data") χρησιμοποιώντας το SQLite Database Browser και να δείτε τον πίνακα "logins" που περιέχει τους αποθηκευμένους κωδικούς πρόσβασης. Θα παρατηρήσετε ότι το πεδίο "password_value" είναι δυσανάγνωστο επειδή η τιμή είναι κρυπτογραφημένη.

Πόσο ασφαλή είναι τα κρυπτογραφημένα δεδομένα?

Για να εκτελέσει την κρυπτογράφηση (στα Windows), το Chrome χρησιμοποιεί μια λειτουργία API που παρέχεται από τα Windows, η οποία καθιστά τα κρυπτογραφημένα δεδομένα αποκρυπτογραφούμενα μόνο από τον λογαριασμό χρήστη των Windows που χρησιμοποιείται για την κρυπτογράφηση του κωδικού πρόσβασης. Έτσι, ουσιαστικά, ο κύριος κωδικός πρόσβασης είναι ο κωδικός πρόσβασης λογαριασμού των Windows. Ως αποτέλεσμα, μόλις συνδεθείτε στα Windows χρησιμοποιώντας το λογαριασμό σας, αυτά τα δεδομένα μπορούν να αποκρυπτογραφηθούν από το Chrome.

Ωστόσο, επειδή ο κωδικός πρόσβασης των λογαριασμών των Windows είναι σταθερός, η πρόσβαση στον "κύριο κωδικό πρόσβασης" δεν είναι αποκλειστική για το Chrome, καθώς τα εξωτερικά βοηθητικά προγράμματα μπορούν να φτάσουν σε αυτά τα δεδομένα - και να τα αποκρυπτογραφήσουν - επίσης. Χρησιμοποιώντας το ελεύθερα διαθέσιμο βοηθητικό πρόγραμμα ChromePass από τη NirSoft, μπορείτε να δείτε όλα τα αποθηκευμένα δεδομένα κωδικού πρόσβασης και να τα εξαγάγετε εύκολα σε ένα αρχείο απλού κειμένου.

Επομένως, έχει νόημα ότι εάν το βοηθητικό πρόγραμμα ChromePass μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα, το κακόβουλο πρόγραμμα που εκτελείται ως αντίστοιχος χρήστης μπορεί να έχει πρόσβαση και σε αυτό. Όταν το ChromePass.exe μεταφορτωθεί στο VirusTotal, λίγο περισσότερο από το ήμισυ των μηχανών προστασίας από ιούς το σημαίνουν ως επικίνδυνο. Ενώ σε αυτή την περίπτωση το βοηθητικό πρόγραμμα είναι ασφαλές, είναι λίγο καθησυχαστικό να βλέπεις ότι αυτή η συμπεριφορά είναι τουλάχιστον σημασμένη από πολλά πακέτα AV (αν και το Microsoft Security Essentials δεν είναι μία από τις μηχανές AV που το ανέφεραν ως επικίνδυνο).

Μπορεί η προστασία να παρακαμφθεί?

Ας υποθέσουμε ότι ο υπολογιστής σας έχει κλαπεί και ο κλέφτης επαναφέρει τον κωδικό πρόσβασης των Windows για να συνδεθεί εγγενώς στην εγκατάσταση σας. Αν στη συνέχεια προσπαθούσαν να δουν τους κωδικούς πρόσβασης στο Chrome ή να χρησιμοποιήσουν το βοηθητικό πρόγραμμα ChromePass, τα δεδομένα κωδικού πρόσβασης δεν θα ήταν διαθέσιμα. Ο λόγος είναι απλός, καθώς ο "κύριος κωδικός πρόσβασης" (ο οποίος ήταν ο κωδικός πρόσβασης του λογαριασμού σας Windows πριν από την αναγκαστική επαναφορά του έξω από τα Windows) δεν ταιριάζει, οπότε η αποκρυπτογράφηση αποτυγχάνει.

Επιπλέον, αν κάποιος απλά αντιγράψει το αρχείο βάσης δεδομένων SQLite του SQLite και προσπαθήσει να το αποκτήσει πρόσβαση σε άλλον υπολογιστή, το ChromePass θα εμφανίσει άδειους κωδικούς πρόσβασης για τον ίδιο λόγο που εξηγείται παραπάνω.

συμπέρασμα

Στο τέλος της ημέρας, η ασφάλεια των αποθηκευμένων κωδικών πρόσβασης του Chrome εξαρτάται απόλυτα από τον χρήστη:

• Χρησιμοποιήστε έναν πολύ ισχυρό κωδικό πρόσβασης λογαριασμού των Windows. Λάβετε υπόψη σας ότι υπάρχουν βοηθητικές εφαρμογές οι οποίες μπορούν να αποκρυπτογραφούν τους κωδικούς πρόσβασης των Windows. Εάν κάποιος αποκτήσει τον κωδικό πρόσβασης λογαριασμού των Windows, τότε έχουν πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης του προγράμματος περιήγησης.
• Προστατεύστε τον εαυτό σας από κακόβουλα προγράμματα. Εάν τα βοηθητικά προγράμματα είναι σε θέση να έχουν εύκολη πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης, γιατί δεν μπορούν να χρησιμοποιηθούν κακόβουλα προγράμματα?
• Αποθηκεύστε τους κωδικούς πρόσβασής σας σε ένα σύστημα διαχείρισης κωδικού πρόσβασης, όπως το KeePass. Φυσικά, χάνετε την ευκολία να έχετε το πρόγραμμα περιήγησης να συμπληρώνει αυτόματα τους κωδικούς πρόσβασής σας.
• Χρησιμοποιήστε ένα βοηθητικό πρόγραμμα τρίτου μέρους το οποίο ενσωματώνεται στο Chrome και χρησιμοποιεί έναν κύριο κωδικό πρόσβασης για τη διαχείριση των κωδικών πρόσβασης.
• Κρυπτογραφήστε ολόκληρο το σκληρό σας δίσκο χρησιμοποιώντας το TrueCrypt. Αυτό είναι εντελώς προαιρετικό και για την εξαιρετικά προστατευτική, αλλά αν κάποιος δεν μπορεί να αποκρυπτογραφήσει το αυτοκίνητό σας σίγουρα δεν μπορεί να πάρει τίποτα μακριά του.

Η κατώτατη γραμμή είναι απλά να διατηρήσετε το σύστημά σας ασφαλή και οι κωδικοί πρόσβασης του Chrome θα πρέπει να είναι αρκετά ασφαλείς επίσης.

Κάντε λήψη του ChromePass από τη NirSoft

Κάντε λήψη του SQLite Browser από το Sourceforge