Zabezpiecz hasła Chrome przed WebBrowserPassView

2

Właśnie byłem zszokowany czym WebBrowserPassView może pokazać - pokazuje w zasadzie każde hasło zapisane w mojej przeglądarce (Chrome).

Domyślam się, że inni użytkownicy na moim komputerze również mogą łatwo uzyskać moje hasła. Jak się zabezpieczyć?

windows-7 google-chrome security KcFnMi
źródło
Szyfrowanie haseł, ograniczenie narzędzia, mówi bezpośrednio na stronie internetowej
Ramhound
Mam wszystkie dane zaszyfrowane z hasłem synchronizacji w Google Chrome, mimo to pokazuje wszystkie moje hasła.
KcFnMi
1
„W Google Chrome - hasła pierwotnie zaimportowane z programu Internet Explorer 7.0-9.0 nie mogą zostać odszyfrowane” - Brzmi tak, jak w twojej sytuacji
Ramhound
„... nie można odszyfrować” powinno oznaczać, że hasła nie będą wyświetlane, prawda? W każdym razie nie importowałem niczego z tego IE.
KcFnMi

Odpowiedzi:

1

Chrome „chroni” zapisane hasła za pomocą systemu Windows DPAPI (Data Protection API). DPAPI ma dwa tryby szyfrowania lub zakresy: użytkownika i maszyny.

Dane chronione w zakresie maszyny są szyfrowane za pomocą klucza na maszynę. Każdy uwierzytelniony użytkownik na komputerze może użyć DPAPI, aby zabezpieczyć takie dane, bez względu na to, który użytkownik pierwotnie je chronił.

Dane chronione w zakresie użytkownika są szyfrowane za pomocą klucza użytkownika. Ten klucz jest chroniony innym kluczem pochodzącym od hasła systemu Windows. (Nie ma to jednak związku z faktem, że Chrome wymaga podania hasła systemu Windows, aby wyświetlić zapisane hasła. Na szczęście Chrome używa tego trybu.

Interesującą konsekwencją szyfrowania klucza DPAPI dla poszczególnych użytkowników jest to, że chronione dane nie mogą być odszyfrowane przez innych użytkowników na maszynie, nawet przez administratorów, ponieważ mogą uzyskać tylko skrót hasła, a nie oryginał. (To oczywiście nie powstrzymuje ich od instalowania keyloggerów lub innych programów szpiegujących, które działają tak jak ty.) Jeśli hasło systemu Windows jest wymuszane przez reset - nie zmienione z wdziękiem - dane chronione w twoim zakresie zostaną w istocie zniszczone.

Oddzielne konta Chrome nie mają z tym nic wspólnego, ponieważ interfejs DPAPI jest powiązany tylko z użytkownikiem systemu Windows.

Dlatego rozwiązaniem jest posiadanie na komputerze innych osób korzystających z własnych kont systemu Windows.

Ben N
źródło
0

Pamiętaj, że Chrome nie obsługuje hasła głównego do wbudowanego menedżera / magazynu haseł. Oznacza to, że każda osoba zalogowana do konta użytkownika na komputerze może wyświetlać hasła Chrome w postaci zwykłego tekstu, a nawet nie będzie potrzebować WebBrowserPassView.

Nie ma hasła głównego, zabezpieczeń, ani nawet monitu, że „te hasła są widoczne”. Odwiedzić chrome://settings/passwords w Chrome, jeśli mi nie wierzysz.

Źródło: Szalona strategia bezpieczeństwa dla Chrome (więcej szczegółów na temat mechanizmu przechowywania haseł Chrome w tym artykule na blogu)

Użyj zewnętrznego menedżera haseł, który oferuje obsługę hasła głównego, takiego jak KeePass lub LastPass, aby obejść ten problem. Jeśli chcesz użyć innej przeglądarki, Firefox oferuje obsługę hasła głównego, dzięki czemu jego hasła nie są widoczne w WebBrowserPassView.

galacticninja
źródło