Все частіше стає випадком, що для багатьох розширень і плагінів браузера потрібен доступ до "всіх моїх даних" (і в Chrome, і в Firefox; я не буду коментувати Internet Explorer).

Мені цікаво, чи можна цим плагінам і доповненням отримати доступ до моїх банківських даних (наприклад), коли я відвідую їх, або отримати доступ до даних, поданих через форми.

Які наслідки для аддонів для безпеки?

Ця публікація стосується лише Firefox та Chromium / Google Chrome. Я не можу коментувати веб-переглядачі Internet Explorer, Opera або мобільних пристроїв. Крім того, моя математика в подальшому може бути помилковою, але основна ідея правильна.

Звичайно, це можливо, але у випадку Firefox та Chrome / Chromium навряд чи.

Чи безпечні мої паролі (які зберігаються в браузері)?

Ця відповідь одна з моїх улюблених: Це залежить. Паролі, які зберігаються веб-переглядачем, повинні виконувати одну важливу та, з точки зору безпеки, умову кошмару. Вони повинні бути простим текстом або повертатися до простого тексту.

Plaintext vs. Encrypted vs. Hashed

Чому це погано? Ну, уявіть, хтось вривається на сервер і краде базу даних паролів. Можливі два результати:

1. Паролі є простими текстами (або легко реверсивними), тому зловмисник тепер має повний доступ до всіх облікових записів.
2. Паролі є хешованими (або зашифрованими), для отримання паролів та доступу до облікових записів буде необхідна жорстока атака проти хешей. Навіть зараз, коли ваше ім’я користувача та пароль викрадені, ваш рахунок все ще залишається в безпеці.

Оскільки браузер повинен мати можливість надсилати пароль на веб-сайти, він не може мати хеш- паролі, він може лише зашифрувати їх (або навіть зберегти їх як відкритий текст). Це завжди потрібно пам’ятати (те саме стосується клієнтів електронної пошти, додатків для чату тощо).

Тільки тому, що він зашифрований, не означає, що це безпечно

Firefox за замовчуванням дозволяє зберігати паролі. Він також шифрує їх . Те саме стосується Chromium (див. Додаток "Ну, це залежить ..." ). Проблема в цьому полягає в тому, що ключ для розшифровки також зберігається з паролями. Це робить шифрування незначними незручностями для тих, хто хоче ваші паролі і ні в якому разі не зупиняє їх.

Тоді не зберігайте ключ із паролями!

Це правильно, щоб зробити паролі більш безпечними , нам потрібно відімкнути ключ від зашифрованих паролів. Це робиться в Firefox шляхом встановлення головного пароля , який потім використовується для шифрування та дешифрування всіх ваших паролів. Використовуючи цю техніку, ви відокремлюєте ключ від зашифрованих даних, що завжди є хорошою ідеєю (зрештою, ви не тримаєте ключ вхідних дверей на гачку перед дверима зовні, правда?).

Паролі так само безпечні, як і ви їх робите

Отже, чому я раніше говорив, що ваші паролі тепер безпечніші та не безпечні ? Тому що тепер безпека ваших паролів залежить від обраного пароля. Тобто пароль "asdf" ні в якому разі не повинен вважатися безпечним; ні "12345". Хороші паролі довгі , тому що жорстоке форсування їх займає значну кількість часу. Пароль "VioletIsATHERColor" технічно більш безпечний, ніж "D0! L4riZe" через свою довжину, незважаючи на те, що другий містить спеціальні символи. Давайте коротко розглянемо це.

"VioletIsAgetherColor"
Довжина: 20
Можливі символи: 52 (26 малих літер + 26 великих літер)

"D0! L4riZe"
Довжина: 9 Можливих
символів: 77 (26 нижній + 26 верхній + 10 цифр + 15 спеціальних) Спец:! "
@ $% & / () =? * + # -

Отже, скільки нам спроб зламати ці паролі, знаючи їх набори символів та довжину?

"Фіолетовий ІншийКолор"
52 ²⁰ = ~ 20 декліонів (~ 2 × 10 ³⁴ )

"D0! L4riZe"
77 ⁹ = ~ 95 квадрильйонів (~ 9 × 10 ¹⁶ )

Як ми бачимо, останній пароль, незважаючи на більш широкий набір символів, легше піддатися грубій силі, ніж довгий з обмеженим набором. Це через довжину. (Інша перевага полягає в тому, що перше простіше запам’ятати.) Детальнішу інформацію щодо цього питання див. У цьому питанні щодо безпеки ІТ.

Тож, якщо можливо, використовуйте парольну фразу, а не пароль .

Назад до теми, наскільки безпечні мої паролі від підробного додатка?

Їх немає. Це тому, що аддони мають доступ до веб-сайту, який ви тільки що відвідали. Вони можуть витягувати з нього інформацію, включаючи введені паролі. Доповнення є ризиком для безпеки, як і будь-яке інше встановлене програмне забезпечення. Встановіть лише доповнення, яким ви довіряєте.

Чудово! Звідки я це знаю?

Встановлюйте лише аддони з джерел, яким ви довіряєте. Для Firefox це сторінка AddOns, а для Chromium - це веб-магазин Chrome , або якщо ви довіряєте автору / розповсюджувача. Обидва гарантують, що AddOns перевірені та безпечні.

Ні сторінка Mozilla AddOns, ні веб-магазин Chrome жодним чином не гарантують безпеку аддону. Вони використовують автоматизовані процеси огляду, які можуть або можуть спіймати шкідливі адони. Зрештою, залишається ризик.

Встановлюйте доповнення лише з джерел, яким ви довіряєте.

Зачекайте хвилинку; Ви щойно згадували інше встановлене програмне забезпечення?

Звичайно! Ніщо не заважає іншому встановленому програмному забезпеченню захоплювати ваші паролі з веб-переглядача, виконувати атаки "посередній" або навіть обслуговувати проксі-сервер, який підробляє ваші банківські веб-сайти. Те саме стосується плагінів браузера. Основне правило: Не встановлюйте програмне забезпечення, якому ви не можете довіряти.

Висновок

Що вам слід від цього забрати?

• Ніколи не встановлюйте програмне забезпечення / плагіни / аддони, яким ви не довіряєте.
• Якщо ви все ще сумніваєтеся, встановіть головний пароль.
• Якщо ви все ще сумніваєтеся, не довіряйте своєму браузеру паролі, не зберігайте їх.
• Якщо ви все ще сумніваєтесь, ніколи не встановлюйте жодних доповнень / плагінів.
• Якщо ви все ще сумніваєтеся, використовуйте живу систему , яку не можна підробити.

Додаток: "Ну, це залежить ..."

Коли я дізнався, мої припущення в цьому пункті не є на 100% правильними, і я хотів би це виправити. Наступна інформація стосується лише зберігання паролів на диску.

Google Chrome / Chromium

Це на самому ділі робить зберегти ваші паролі в безпечному режимі на диску, в залежності від операційної системи , на якому він працює:

Microsoft Windows

API Microsoft Windows CryptProtectData/ CryptUnprotectDataвикористовується для шифрування / розшифрування пароля. Цей API працює з паролем вашого облікового запису ОС, тому він є настільки ж безпечним, як і цей пароль.

MacOS

Шар для MacOS генерує випадковий ключ на основі пароля брелока поточного користувача і додає цей ключ до брелка. Знову ж таки, це лише так само безпечно, як і пароль користувача.

Linux

Ну ... не будемо про це говорити.

Гаразд, якщо ви повинні знати, він робить саме те, що я припускав: він зберігає дані з жорстким кодом пароля. Чому це так? Просто тому, що не існує спільної інфраструктури, яка б обробляла зашифровані дані таким чином, щоб інші дві системи. Ні, я не просто сказав, що в Linux відсутні системи шифрування або безпека; Є багато рішень для ключів / брелоків та зберігання паролів, доступних у просторі користувачів . Як здається, розробники Chrome вирішили не використовувати жодного з таких. "Чому?" це не питання, на яке я можу відповісти.

Firefox

Завжди використовує створений ключ, який зберігається поряд із паролями. Виняток - якщо ви встановите головний пароль, тоді це також буде використано.