Hur säkra är dina sparade Chrome Browser-lösenord?
En vanlig fråga om Google Chrome-webbläsaren är "varför finns inte ett huvudlösenord?" Google har (inofficiellt) tagit ställningen att ett huvudlösenord ger en falsk känsla av säkerhet och den mest lönsamma formen av skydd för denna känsliga data är genom övergripande systemskydd.
Så exakt hur säker är din sparade lösenordsdata inuti Google Chrome?
Visa sparade lösenord
Chrome innehåller en egen lösenordshanterare som är tillgänglig via Alternativ> Personliga saker> Hantera sparade lösenord. Det här är inget nytt och om du tillåter Chrome att lagra dina lösenord, är du förmodligen redan medveten om den här funktionen.
En fin touch av mindre säkerhet är att du först måste klicka på showknappen bredvid varje lösenord du vill visa.
Medan det inte finns några begränsningar för åtkomst till den här skärmen (dvs. om du har åtkomst till skrivbordet där Chrome är installerat kan du komma till lösenord). Det krävs åtminstone användarintervention för att visa varje lösenord utan att exportera dem i bulk till en vanlig textfil.
Var lagras lösenordsdata?
Den sparade lösenordsdata lagras i en SQLite-databas som finns här:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Användardata \ Standard \ Inloggningsdata
Du kan öppna den här filen (filnamnet är bara "Inloggningsdata") med SQLite Database Browser och visa "inloggnings" -tabellen som innehåller de sparade lösenorden. Du kommer märka att fältet "password_value" är oläsligt eftersom värdet är krypterat.
Hur säker är krypterad data?
För att utföra krypteringen (i Windows) använder Chrome en Windows-API-funktion som gör att krypterade data endast kan avkrympas av det Windows-användarkonto som används för att kryptera lösenordet. Så viktigt är ditt huvudlösenord ditt lösenord för Windows-kontot. Som ett resultat, när du är inloggad i Windows med ditt konto kan dessa data deklareras av Chrome.
Men eftersom ditt lösenord för Windows-kontot är en konstant är åtkomst till "huvudlösenordet" inte exklusivt för Chrome eftersom externa verktyg kan komma till denna data - och dekryptera den - också. Med hjälp av det fritt tillgängliga verktyget ChromePass från NirSoft kan du se alla dina sparade lösenordsdata och exportera det enkelt till en vanlig textfil.
Så det är vettigt att om verktyget ChromePass får tillgång till den här informationen, kan skadlig kod som körs som respektive användare också få åtkomst till det. När ChromePass.exe laddas upp till VirusTotal, markerar drygt hälften av anti-virusmotorerna det som farligt. Medan verktyget i detta fall är säkert är det lite lugnande att se att detta beteende är minst flaggat av många AV-paket (även om Microsoft Security Essentials inte är en av AV-motorerna som rapporterade det som farligt).
Kan skyddet kringgå?
Antag att din dator är stulen och tjuven återställer ditt Windows-lösenord för att kunna logga in på din installation. Om de senare skulle försöka visa lösenorden i Chrome eller använda verktyget ChromePass, skulle lösenordsdata inte vara tillgängliga. Anledningen är enkel eftersom "huvudlösenordet" (vilket var ditt lösenord för Windows-konto innan de kraftigt återställde det utanför Windows) matchar inte så att dekrypteringen misslyckas.
Om någon bara skulle kopiera SQLite-databasfilen för Chrome-lösenordet och försöka komma åt den på en annan dator, skulle ChromePass visa tomma lösenord av samma skäl som förklaras ovan.
Slutsats
I slutet av dagen beror säkerheten för de Chrome-sparade lösenorden helt på användaren:
- Använd ett mycket starkt lösenord för Windows-kontot. Tänk på att det finns verktyg som kan dechifiera Windows-lösenord. Om någon får ditt lösenord för Windows-konto har de tillgång till dina sparade lösenord för webbläsare.
- Skydda dig mot skadlig kod. Om verktygen lätt kan komma åt dina sparade lösenord, varför kan det inte skadas?
- Spara dina lösenord i ett lösenordshanteringssystem som KeePass. Naturligtvis förlorar du bekvämligheten med att webbläsaren automatiskt fyller i dina lösenord.
- Använd ett tredje partverktyg som integreras med Chrome och använder ett huvudlösenord för att hantera dina lösenord.
- Kryptera hela hårddisken med TrueCrypt. Detta är helt frivilligt och för ultra-skyddande, men om någon inte kan dekryptera din enhet kan de säkert inte få något av det.
Grunderna är helt enkelt att hålla ditt system säkert och dina Chrome lösenord bör också vara rimligt säkra.
Hämta ChromePass från NirSoft
Hämta SQLite Browser från Sourceforge