Проблема безопасности сохраненных паролей Chrome

Question 1

Это компромисс безопасности, а не уязвимость. Из-за самой природы паролей, если они хранятся таким образом, что их можно использовать (например, для заполнения формы), они хранятся таким образом, что их можно извлечь, независимо от того, какая схема используется для их хранения или шифрования. Скрытие возможности показывать пароль не меняет того факта, что само приложение в какой-то момент должно его извлечь — и когда оно это делает, оно подвергается различным методам извлечения.

Это звучит как зияющая дыра, пока вы не рассмотрите другие факторы, действующие в этом вопросе.

Чтобы получить пароли, злоумышленнику необходимо получить доступ к учетной записи пользователя или администратора в системе, где они хранятся, как правило, с помощью вредоносного ПО, скрытого доступа, оставленного без присмотра, но разблокированного ПК или, в некоторых случаях, когда у него есть физический доступ, с помощью инструментов восстановления.
Если злоумышленник может сделать что-либо из вышеперечисленного, он может вмешаться в систему и другими способами, включая установку кейлоггеров, программного обеспечения для удаленного управления, снифферов и программного обеспечения для записи рабочего стола, поэтому введенный пароль не обязательно будет более безопасным, чем сохраненный.
Пользователь, который хранит пароли, с гораздо большей вероятностью будет использовать уникальные пароли между сайтами и с гораздо большей вероятностью будет использовать надежные пароли.
Сохраненный пароль потенциально более безопасен, чем стикер под клавиатурой, поскольку, чтобы его увидеть, кто-то должен войти в вашу учетную запись, а стикер можно запомнить, украсть, скопировать вручную или сфотографировать.

На самом деле, сохраненный пароль подвергается примерно такому же риску, как и набранный пароль против решительного злоумышленника, поскольку решительный злоумышленник будет готов к таким возможностям, как разблокированный ПК или разблокированный офис. Немного практики и предварительной подготовки, и USB-накопитель или веб-сайт можно подготовить для установки руткита менее чем за 15 секунд — меньше, чем требуется, чтобы выпить чашку кофе. Если вы беспокоитесь о том, что кто-то сядет и покажет сохраненные пароли, у вас гораздо большие проблемы из-за незащищенного и необслуживаемого ПК.

Что касается мастер-паролей, то это хороший инструмент, но не стоит слишком им доверять. Серьезный злоумышленник, у которого есть возможность взломать ваш мастер-пароль, уже зашел достаточно далеко, чтобы внедрить кейлоггер. Это умеренная защита от атак типа «хватай и беги» на базу данных, пока система выключена, и хорошая защита от случайных шпионов, но это не остановит того, кто серьезно настроен получить ваш пароль, от использования разблокированного ПК.

В итоге:

Сохранение паролей на компьютере само по себе не представляет серьезной угрозы безопасности, но это отягчающий фактор, который может помочь злоумышленникам воспользоваться вашей беспечностью, если вы оставите компьютер разблокированным или позволите кому-то другому пользоваться компьютером, пока вы находитесь в системе. (Они все равно могут нанести тот же ущерб, даже если вы не сохраните свои пароли — сохраненные пароли просто облегчают им задачу.)
Сохранение пароля на компьютере упрощает использование надежных и уникальных паролей.
Базовые правила безопасности, такие как не отходить от компьютера, не заблокировав его, не сообщать никому свои пароли, не сохранять СВОЙ пароль для другого пользователя на его ПК и не позволять кому-либо работать под вашим логином, являются гораздо более важными соображениями безопасности, чем сохранение паролей.
Мастер-пароль все еще хорошая идея, если у вас есть возможность (глубокая защита), но не позволяйте ему давать вам ложное чувство безопасности. Это дополнительный фактор, а не оправдание для беспечности в других местах.

Answer

Это компромисс безопасности, а не уязвимость. Из-за самой природы паролей, если они хранятся таким образом, что их можно использовать (например, для заполнения формы), они хранятся таким образом, что их можно извлечь, независимо от того, какая схема используется для их хранения или шифрования. Скрытие возможности показывать пароль не меняет того факта, что само приложение в какой-то момент должно его извлечь — и когда оно это делает, оно подвергается различным методам извлечения.

Это звучит как зияющая дыра, пока вы не рассмотрите другие факторы, действующие в этом вопросе.

Чтобы получить пароли, злоумышленнику необходимо получить доступ к учетной записи пользователя или администратора в системе, где они хранятся, как правило, с помощью вредоносного ПО, скрытого доступа, оставленного без присмотра, но разблокированного ПК или, в некоторых случаях, когда у него есть физический доступ, с помощью инструментов восстановления.
Если злоумышленник может сделать что-либо из вышеперечисленного, он может вмешаться в систему и другими способами, включая установку кейлоггеров, программного обеспечения для удаленного управления, снифферов и программного обеспечения для записи рабочего стола, поэтому введенный пароль не обязательно будет более безопасным, чем сохраненный.
Пользователь, который хранит пароли, с гораздо большей вероятностью будет использовать уникальные пароли между сайтами и с гораздо большей вероятностью будет использовать надежные пароли.
Сохраненный пароль потенциально более безопасен, чем стикер под клавиатурой, поскольку, чтобы его увидеть, кто-то должен войти в вашу учетную запись, а стикер можно запомнить, украсть, скопировать вручную или сфотографировать.

На самом деле, сохраненный пароль подвергается примерно такому же риску, как и набранный пароль против решительного злоумышленника, поскольку решительный злоумышленник будет готов к таким возможностям, как разблокированный ПК или разблокированный офис. Немного практики и предварительной подготовки, и USB-накопитель или веб-сайт можно подготовить для установки руткита менее чем за 15 секунд — меньше, чем требуется, чтобы выпить чашку кофе. Если вы беспокоитесь о том, что кто-то сядет и покажет сохраненные пароли, у вас гораздо большие проблемы из-за незащищенного и необслуживаемого ПК.

Что касается мастер-паролей, то это хороший инструмент, но не стоит слишком им доверять. Серьезный злоумышленник, у которого есть возможность взломать ваш мастер-пароль, уже зашел достаточно далеко, чтобы внедрить кейлоггер. Это умеренная защита от атак типа «хватай и беги» на базу данных, пока система выключена, и хорошая защита от случайных шпионов, но это не остановит того, кто серьезно настроен получить ваш пароль, от использования разблокированного ПК.

В итоге:

Сохранение паролей на компьютере само по себе не представляет серьезной угрозы безопасности, но это отягчающий фактор, который может помочь злоумышленникам воспользоваться вашей беспечностью, если вы оставите компьютер разблокированным или позволите кому-то другому пользоваться компьютером, пока вы находитесь в системе. (Они все равно могут нанести тот же ущерб, даже если вы не сохраните свои пароли — сохраненные пароли просто облегчают им задачу.)
Сохранение пароля на компьютере упрощает использование надежных и уникальных паролей.
Базовые правила безопасности, такие как не отходить от компьютера, не заблокировав его, не сообщать никому свои пароли, не сохранять СВОЙ пароль для другого пользователя на его ПК и не позволять кому-либо работать под вашим логином, являются гораздо более важными соображениями безопасности, чем сохранение паролей.
Мастер-пароль все еще хорошая идея, если у вас есть возможность (глубокая защита), но не позволяйте ему давать вам ложное чувство безопасности. Это дополнительный фактор, а не оправдание для беспечности в других местах.

Question 2

Я думаю, что необходимо прояснить две вещи:

Firefox позволяет установить мастер-пароль, чтобы сохранить все ваши пароли в безопасности (вам необходимо ввести мастер-пароль, прежде чем он покажет вам пароли, или ввести его в поле для ввода пароля).
Chrome шифрует пароли, используя пароль пользователя для входа в Windows.

Почему Google делает что-то — это не то, на что может ответить кто-либо (кроме Google). Вот что они сказали на данный момент:

«Наше решение не внедрять функцию мастер-пароля основано на нашем убеждении, что она создает ложное чувство безопасности вместо того, чтобы на самом деле обеспечивать существенные преимущества в плане безопасности».

Я этого не понимаю, и многие люди тоже, но таково текущее положение вещей. Если вам не нравится эта часть хрома, используйте что-то вродеLastPass.

Answer

Я думаю, что необходимо прояснить две вещи:

Firefox позволяет установить мастер-пароль, чтобы сохранить все ваши пароли в безопасности (вам необходимо ввести мастер-пароль, прежде чем он покажет вам пароли, или ввести его в поле для ввода пароля).
Chrome шифрует пароли, используя пароль пользователя для входа в Windows.

Почему Google делает что-то — это не то, на что может ответить кто-либо (кроме Google). Вот что они сказали на данный момент:

«Наше решение не внедрять функцию мастер-пароля основано на нашем убеждении, что она создает ложное чувство безопасности вместо того, чтобы на самом деле обеспечивать существенные преимущества в плане безопасности».

Я этого не понимаю, и многие люди тоже, но таково текущее положение вещей. Если вам не нравится эта часть хрома, используйте что-то вродеLastPass.

Question 3

Пароли не показываются легко кому-либо. Нужно иметь доступ к вашей учетной записи пользователя Windows, в противном случае ваши пароли не могут быть показаны. Поскольку никто, кроме вас, не должен иметь доступа к вашей учетной записи (зная ваш пароль), я не вижу, как поведение Chrome может быть проблемой безопасности.

Хотя в Internet Explorer нет встроенного способа отображения сохраненных паролей, они по-прежнему доступны любому пользователю, имеющему доступ к вашей учетной записи, например, с помощью таких инструментов, какhttp://www.nirsoft.net/utils/internet_explorer_password.html. Непредоставление родного пути может рассматриваться как своего рода псевдобезопасность.

Answer

Пароли не показываются легко кому-либо. Нужно иметь доступ к вашей учетной записи пользователя Windows, в противном случае ваши пароли не могут быть показаны. Поскольку никто, кроме вас, не должен иметь доступа к вашей учетной записи (зная ваш пароль), я не вижу, как поведение Chrome может быть проблемой безопасности.

Хотя в Internet Explorer нет встроенного способа отображения сохраненных паролей, они по-прежнему доступны любому пользователю, имеющему доступ к вашей учетной записи, например, с помощью таких инструментов, какhttp://www.nirsoft.net/utils/internet_explorer_password.html. Непредоставление родного пути может рассматриваться как своего рода псевдобезопасность.

Проблема безопасности сохраненных паролей Chrome

решение1

решение2

решение3

Связанный контент