Chrome 저장된 비밀번호 보안 문제

Question 1

이는 보안 취약점이 아니라 보안 절충입니다. 비밀번호의 특성상 사용할 수 있는 방식(예: 양식 작성)으로 저장되면 어떤 체계를 사용하여 저장하거나 저장하든 관계없이 검색할 수 있는 방식으로 저장됩니다. 암호화하십시오. 비밀번호를 표시하는 옵션을 숨기더라도 애플리케이션 자체가 어느 시점에서 비밀번호를 검색해야 한다는 사실은 바뀌지 않으며, 비밀번호를 검색할 때 비밀번호를 추출하는 다양한 방법이 적용됩니다.

직장의 다른 요소를 고려할 때까지 이것은 꽤 큰 구멍처럼 들립니다.

비밀번호를 검색하려면 공격자는 일반적으로 악성 코드, 숄더 서핑, 무인이지만 잠금 해제된 PC 또는 물리적 접근 권한이 있는 경우를 통해 비밀번호가 저장된 시스템의 사용자 계정이나 관리자 계정에 접근해야 합니다. , 복구 도구를 통해.
공격자가 위와 같은 작업을 수행할 수 있는 경우 키로거, 원격 제어 소프트웨어, 스니퍼 및 데스크톱 녹음 소프트웨어 설치를 비롯한 다른 방법으로 시스템을 변조할 수 있으므로 입력한 암호가 반드시 암호를 입력하는 것보다 더 안전하지는 않습니다. 하나 저장했습니다.
비밀번호를 저장하는 사용자는 사이트 간에 고유한 비밀번호를 사용할 가능성이 훨씬 더 높으며, 강력한 비밀번호를 사용할 가능성도 훨씬 더 높습니다.
저장된 비밀번호는 잠재적으로 키보드 밑에 있는 포스트잇보다 더 안전할 수 있습니다. 누군가가 실제로 비밀번호를 보려면 사용자 계정에 로그인해야 하지만 포스트잇을 기억하거나, 훔치거나, 손으로 복사하거나, 사진을 찍을 수 있기 때문입니다.

실제로 저장된 암호는 결정된 공격자에 대해 입력된 암호와 거의 동일한 위험에 처해 있습니다. 왜냐하면 결정된 공격자는 잠금 해제된 PC 또는 잠금 해제된 사무실과 같은 기회에 대비할 것이기 때문입니다. 약간의 연습과 사전 준비를 통해 USB 드라이브나 웹 사이트는 15초 이내에 루트킷을 설치할 수 있도록 준비할 수 있습니다. 이는 커피 한 잔을 마시는 데 걸리는 시간보다 짧습니다. 누군가가 앉아서 저장된 비밀번호를 보여줄까봐 걱정된다면, 보안되지 않고 방치된 PC를 갖는 것은 훨씬 더 큰 문제를 안고 있는 것입니다.

마스터 비밀번호는 좋은 도구이지만 너무 신뢰하지 마세요. 귀하의 마스터 비밀번호를 노릴 수 있는 심각한 공격자는 이미 키로거를 삽입할 만큼 충분히 성장했습니다. 시스템이 꺼져 있는 동안 데이터베이스에 대한 잡기 및 실행 공격에 대한 중간 정도의 보호 기능과 일반적인 염탐에 대한 좋은 보호 기능이 있지만 잠금 해제된 PC를 이용하여 암호를 알아내는 것을 진지하게 생각하는 사람을 막지는 못할 것입니다.

요약하자면:

컴퓨터에 암호를 저장하는 것 자체는 심각한 보안 위험은 아니지만, 컴퓨터를 잠금 해제 상태로 두거나 다른 사람이 컴퓨터를 사용하도록 허용하는 경우 악의적인 사람이 사용자의 부주의를 더 쉽게 이용할 수 있도록 하는 악화 요인입니다. 귀하는 로그인되어 있습니다. (비밀번호를 저장하지 않아도 그들은 여전히 동일한 피해를 입힐 수 있습니다. 저장된 비밀번호는 비밀번호를 더 쉽게 만들어줍니다.)
비밀번호를 컴퓨터에 저장하면 안전하고 고유한 비밀번호를 더 쉽게 사용할 수 있습니다.
컴퓨터를 잠그지 않고 자리를 떠나지 않기, 비밀번호를 공유하지 않기, PC에 다른 사용자를 위해 비밀번호를 저장하지 않기, 다른 사람이 귀하의 로그인 하에 작업하도록 허용하지 않기 등의 기본 보안 원칙은 보안 고려사항보다 훨씬 더 중요합니다. 또는 비밀번호를 저장하지 마십시오.
옵션(심층 방어)이 있는 경우 마스터 비밀번호를 사용하는 것이 여전히 좋은 생각이지만 잘못된 보안 감각을 제공하지 않도록 하십시오. 다른 곳에서 부주의하다는 변명이 아니라 추가적인 요소입니다.

Answer

이는 보안 취약점이 아니라 보안 절충입니다. 비밀번호의 특성상 사용할 수 있는 방식(예: 양식 작성)으로 저장되면 어떤 체계를 사용하여 저장하거나 저장하든 관계없이 검색할 수 있는 방식으로 저장됩니다. 암호화하십시오. 비밀번호를 표시하는 옵션을 숨기더라도 애플리케이션 자체가 어느 시점에서 비밀번호를 검색해야 한다는 사실은 바뀌지 않으며, 비밀번호를 검색할 때 비밀번호를 추출하는 다양한 방법이 적용됩니다.

직장의 다른 요소를 고려할 때까지 이것은 꽤 큰 구멍처럼 들립니다.

비밀번호를 검색하려면 공격자는 일반적으로 악성 코드, 숄더 서핑, 무인이지만 잠금 해제된 PC 또는 물리적 접근 권한이 있는 경우를 통해 비밀번호가 저장된 시스템의 사용자 계정이나 관리자 계정에 접근해야 합니다. , 복구 도구를 통해.
공격자가 위와 같은 작업을 수행할 수 있는 경우 키로거, 원격 제어 소프트웨어, 스니퍼 및 데스크톱 녹음 소프트웨어 설치를 비롯한 다른 방법으로 시스템을 변조할 수 있으므로 입력한 암호가 반드시 암호를 입력하는 것보다 더 안전하지는 않습니다. 하나 저장했습니다.
비밀번호를 저장하는 사용자는 사이트 간에 고유한 비밀번호를 사용할 가능성이 훨씬 더 높으며, 강력한 비밀번호를 사용할 가능성도 훨씬 더 높습니다.
저장된 비밀번호는 잠재적으로 키보드 밑에 있는 포스트잇보다 더 안전할 수 있습니다. 누군가가 실제로 비밀번호를 보려면 사용자 계정에 로그인해야 하지만 포스트잇을 기억하거나, 훔치거나, 손으로 복사하거나, 사진을 찍을 수 있기 때문입니다.

실제로 저장된 암호는 결정된 공격자에 대해 입력된 암호와 거의 동일한 위험에 처해 있습니다. 왜냐하면 결정된 공격자는 잠금 해제된 PC 또는 잠금 해제된 사무실과 같은 기회에 대비할 것이기 때문입니다. 약간의 연습과 사전 준비를 통해 USB 드라이브나 웹 사이트는 15초 이내에 루트킷을 설치할 수 있도록 준비할 수 있습니다. 이는 커피 한 잔을 마시는 데 걸리는 시간보다 짧습니다. 누군가가 앉아서 저장된 비밀번호를 보여줄까봐 걱정된다면, 보안되지 않고 방치된 PC를 갖는 것은 훨씬 더 큰 문제를 안고 있는 것입니다.

마스터 비밀번호는 좋은 도구이지만 너무 신뢰하지 마세요. 귀하의 마스터 비밀번호를 노릴 수 있는 심각한 공격자는 이미 키로거를 삽입할 만큼 충분히 성장했습니다. 시스템이 꺼져 있는 동안 데이터베이스에 대한 잡기 및 실행 공격에 대한 중간 정도의 보호 기능과 일반적인 염탐에 대한 좋은 보호 기능이 있지만 잠금 해제된 PC를 이용하여 암호를 알아내는 것을 진지하게 생각하는 사람을 막지는 못할 것입니다.

요약하자면:

컴퓨터에 암호를 저장하는 것 자체는 심각한 보안 위험은 아니지만, 컴퓨터를 잠금 해제 상태로 두거나 다른 사람이 컴퓨터를 사용하도록 허용하는 경우 악의적인 사람이 사용자의 부주의를 더 쉽게 이용할 수 있도록 하는 악화 요인입니다. 귀하는 로그인되어 있습니다. (비밀번호를 저장하지 않아도 그들은 여전히 동일한 피해를 입힐 수 있습니다. 저장된 비밀번호는 비밀번호를 더 쉽게 만들어줍니다.)
비밀번호를 컴퓨터에 저장하면 안전하고 고유한 비밀번호를 더 쉽게 사용할 수 있습니다.
컴퓨터를 잠그지 않고 자리를 떠나지 않기, 비밀번호를 공유하지 않기, PC에 다른 사용자를 위해 비밀번호를 저장하지 않기, 다른 사람이 귀하의 로그인 하에 작업하도록 허용하지 않기 등의 기본 보안 원칙은 보안 고려사항보다 훨씬 더 중요합니다. 또는 비밀번호를 저장하지 마십시오.
옵션(심층 방어)이 있는 경우 마스터 비밀번호를 사용하는 것이 여전히 좋은 생각이지만 잘못된 보안 감각을 제공하지 않도록 하십시오. 다른 곳에서 부주의하다는 변명이 아니라 추가적인 요소입니다.

Question 2

나는 명확히 해야 할 두 가지 사항이 있다고 생각합니다.

Firefox에서는 모든 비밀번호를 안전하게 유지하기 위해 마스터 비밀번호를 설정할 수 있습니다(비밀번호가 표시되기 전에 마스터 비밀번호를 입력하거나 비밀번호 상자에 입력해야 합니다).
Chrome은 사용자의 Windows 로그인 비밀번호를 사용하여 비밀번호를 암호화합니다.

Google이 어떤 일을 하는 이유는 (Google 이외의) 누구라도 대답할 수 있는 것이 아닙니다. 지금까지 그들이 말한 내용은 다음과 같습니다.

'마스터 비밀번호 기능을 구현하지 않기로 한 결정은 실제로 강력한 보안 이점을 제공하는 대신 잘못된 보안 감각을 조성한다는 믿음에 근거한 것입니다.'

나도 이해하지 못하고, 많은 사람들도 이해하지 못하지만, 그것이 현재의 상황이다. 크롬의 이 부분이 마음에 들지 않으면 다음과 같은 것을 사용하십시오.라스트패스.

Answer