Наскільки безпечний менеджер паролів у браузерах?


13

Наприклад, Opera має функцію "паличка", яка запам'ятовує імена користувачів та пароль, які ви ввели на різних сайтах.

Скажімо, ви отримуєте троянець, який викрадає дані з вашого ПК. Чи може троянець розшифровувати збережені паролі браузерами та використовувати їх?

Відповіді:


4

Пункти, зазначені у відповіді Боба, справедливі, тому я не буду намагатися їх повторювати; однак я подумав, що трохи додаткової інформації також може бути корисним для деяких, оскільки ваше питання викликає повагу.

  • Функція Wand Opera дає змогу вказати, наскільки часто потрібно запитувати свій головний пароль Preferences > Advanced > Security > Ask for passwordіз такими виділеннями, як "Раз на сеанс" (що, як правильно вказує Боб, обмежує вашу безпеку), "Кожні х хвилин / години" (якщо ви не Не маючи на увазі .iniфайлів, ви можете налаштувати власну частоту) та "Кожен раз, коли це потрібно" (очевидно, найбільш безпечний варіант, оскільки ваш пароль не зберігатиметься в пам'яті під час сеансу перегляду). Я не використовую Firefox, але можу уявити, що десь є подібне розширення.

  • Дані Wand зберігаються у файлі, який називається, зачекайте його wand.datу форматі, який можна розшифрувати з відносно невеликими зусиллями, якщо не використовується головний пароль; якщо ви робите за допомогою майстра - пароль, він зашифрований з використанням випадкового компонента і майстер - пароль з алгоритмом , який в даний час вислизає від мене (має бути легко шукати , хоча).

  • Якщо ви користуєтесь паролем для сайту, безпека якого для вас важливіша, ніж середній логін, ви можете просто вибрати не зберігати пароль .

  • Приватні вкладки в Opera (або їх еквівалент в інших браузерах) дозволяють зберігати дані сеансу цієї вкладки окремо від даних на вкладках "звичайні", що може додати ще один рівень захисту.

  • Модель безпеки, яка використовується в Chrome та його похідних (тобто, пісочниця кожної вкладки в окремому потоці), дає вам ще більшу безпеку.

  • Ви можете захищатись від кейлогерів і таких, регулярно:

    • оновлення вашого антивірусного та брандмауера; і
    • зміна ваших паролів.

Підсумовуючи:

  • Рівень вашого браузера безпеки і що ваші логіни до вас в значній мірі.

  • Якщо хто - то був дуже досвідчений і винахідливий, вони могли б , ймовірно , отримати в свої дані в кінці кінців , не дивлячись на всі запобіжні заходи , зазначених вище, але це буде зробити дані вашого браузера набагато більш безпечним і підвищило б рівень складності потрібно значно зламати.


22
  • Якщо у вас на комп’ютері є зловмисне програмне забезпечення, жодні паролі, введені або збережені на ньому, не можна вважати справді безпечними. Навіть зашифровані паролі, такі як бази даних KeyPass, як тільки ви вводите реквізити, необхідні для його розшифрування, зловмисник може отримати ваші паролі.

  • Браузери зазвичай не приділяють великої уваги безпеці збережених паролів, принаймні, не з налаштуваннями за замовчуванням.


Скажімо, ви отримуєте троянець, який викрадає дані з вашого ПК. Чи може троянець розшифровувати збережені паролі браузерами та використовувати їх?

Одним словом: так. Браузери, як правило, не шифрують запам'ятовані паролі, тому їх можна читати з тривіальним зусиллям. Шифрування зі збереженим ключем у будь-якому разі марно: якщо браузер може розшифрувати його, інші програми, що працюють на тому ж комп’ютері, можуть зробити те саме.

Я найбільше знайомий з Firefox, тому піду з цим.

Firefox дозволяє встановити "головний пароль". У цьому випадку він шифрує збережені паролі за допомогою головного пароля. Однак для зручності вам потрібно увійти в систему, використовуючи цей головний пароль один раз на сеанс. Після входу в систему інформація, необхідна для розшифрування збережених паролів, зберігається в пам'яті та може отримати доступ до неї. Більш безпечним і громіздким підходом було б вимагати введення головного пароля кожного разу, коли Firefox потребував пошуку збереженого пароля.

Навіть якщо збережені паролі були ідеально зашифровані та абсолютно недоступні, їх потрібно розшифрувати та ввести у веб-форми в якийсь момент. Що означає зберігати паролі, незашифровані, в пам'яті. Є на насправді досить багато « зірочка відкривають програм» , розроблені , щоб захопити ці паролі з пам'яті і, ну, розкрити їх. Теоретично зловмисне програмне забезпечення може зробити те саме.

Зловмисне програмне забезпечення також може блокувати вас, дозволяючи зловмиснику отримати будь-який введений вами пароль.


Там дуже поглиблене вивчення пароля безпеки у всіх основних браузерах (IE, Chrome, FF) тут . Підводячи підсумок, і Chrome, і IE10 покладаються на процедури шифрування Windows, які вважаються сильними. Однак вони не захищають від інших програм, що працюють під тим самим користувачем , тобто вони марні від зловмисного програмного забезпечення. Знову ж таки, будь-яка програма, що виконується (як адміністратор), може захопити інформацію з пам'яті або в будь-якому випадку.

Метод шифрування є найважливішим, коли ви враховуєте можливість крадіжок збережених даних для подальшого аналізу, наприклад, хтось прокрадається і копіює ваш комп'ютер або викрадає ваш комп'ютер. Взагалі всі сучасні браузери роблять гідну роботу щодо захисту від такої форми атаки. Firefox з хорошим, надійним паролем знову надається перевагу, оскільки зашифровані дані Windows можна відновити, увійшовши в обліковий запис користувача Windows, і пароль Windows вже не є повністю безпечним. Зауважте, що жодне з них не зупинить дуже рішучого нападника.


Варто зауважити, що якщо ви використовуєте автентифікатор, то можливості зловмисника для крадіжки ваших паролів значно скорочуються.
o0 '.

1

NirSoft надає інструмент під назвою "IEPassView", який може розшифрувати Internet Explorer 8 та під паролями. Інформація про систему для Windows може зробити те саме; просто натисніть на клавішу вгорі.

NirSoft надає інструменти "відновлення пароля" для багатьох популярних браузерів ( http://www.nirsoft.net/password_recovery_tools.html ) - вони є хорошим "доказом концепції", щоб показати, що вбудоване зберігання паролів не є безпечним .


Гм ... це насправді трохи вводить в оману. Ви не зазначили, що такі інструменти взагалі не працюють у входах, захищених головним паролем, або потрібен головний пароль, щоб "розшифрувати" дані для входу. Принаймні, це стосується Opera / Chrome / Firefox, не впевнений, що робить IE, можливо, ти можеш бути там прямо.
Амос М. Карпентер

1

Lastpass та подібне програмне забезпечення - це зручні відповіді. Хоча вони не дають вам загальної безпеки (вам все одно потрібно робити такі основи, як брандмауер, антивірус, тощо), це хороший спосіб управління вашими паролями. Також завдяки тому, що він зберігається в магічній хмарі, ви можете отримати доступ до них з будь-якого місця (на відміну від деяких місцевих програм, де вам потрібно зберігати на своїй машині, щоб отримати доступ до нього).


1
Ще раз зазначу, що це не захистить від зловмисного програмного забезпечення, яке працює локально. По-перше, зловмисне програмне забезпечення може перехопити ваш головний пароль Lastpass. Двофакторна автентифікація може захистити від цього, але тоді ви можете просочити паролі в процесі введення їх на веб-сторінку призначення. Справа в тому, що якщо на вашій машині зловмисне програмне забезпечення працює (підвищено), ваші незашифровані дані вкручуються. А ваші зашифровані дані вкручуються, як тільки ви намагаєтесь отримати доступ до них.
Боб

(Це все ще гарна пропозиція [я особисто використовую Keepass, нічого з цього хмарного сміття], але я повинен вирішити питання, порушене в питанні.)
Боб

@Bob також існує проблема, що навіть на локальній машині зловмисне програмне забезпечення може робити те саме, перехоплюючи паролі. Копіювання та вставлення також можна відстежувати, так що при використанні пароля він відстежується. Не існує хорошого способу, 2-факторну автентифікацію дійсно важко перемогти Тхо.
Гриффін

Так, я не кажу, що Keepass є більш захищеним від локальних програм.
Боб
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.