Coraz częściej rozszerzenia i wtyczki do przeglądarek wymagają dostępu do „wszystkich moich danych” (zarówno w Chrome, jak i Firefox; nie będę komentował Internet Explorera).

Zastanawiam się, czy te wtyczki i dodatki mogą uzyskiwać dostęp do moich danych bankowych (na przykład) podczas ich odwiedzania lub danych przesyłanych za pośrednictwem formularzy.

Jakie są skutki dodatków dla bezpieczeństwa?

Ten post dotyczy tylko przeglądarki Firefox i Chromium / Google Chrome. Nie mogę komentować przeglądarki Internet Explorer, Opera ani przeglądarki mobilnej. Również moja matematyka może być błędna, ale podstawowa idea jest poprawna.

Oczywiście jest to możliwe, jednak w przypadku Firefoksa i Chrome / Chromium jest mało prawdopodobne.

Czy moje hasła (które są przechowywane w przeglądarce) są bezpieczne?

Ta odpowiedź jest jedną z moich ulubionych: to zależy. Hasła zapisane przez przeglądarkę muszą spełniać jeden ważny, a z punktu widzenia bezpieczeństwa koszmarny warunek: muszą być tekstem jawnym lub odwracalnym do tekstu jawnego.

Zwykły tekst a zaszyfrowane a zaszyfrowane

Dlaczego to takie złe? Wyobraź sobie, że ktoś włamuje się na serwer i kradnie bazę danych haseł. Istnieją dwa możliwe wyniki:

1. Hasła są jawne (lub łatwo odwracalne), więc cracker ma teraz pełny dostęp do wszystkich kont.
2. Hasła są mieszane (lub szyfrowane), niezbędny byłby atak siłowy przeciwko skrótom, aby uzyskać hasła i dostęp do kont. Nawet teraz, gdy nazwa użytkownika i hasło zostały skradzione, Twoje konto jest nadal bezpieczne.

Ponieważ przeglądarka musi mieć możliwość wysyłania hasła do stron internetowych, nie może hashować haseł, może je tylko szyfrować (a nawet przechowywać jako zwykły tekst). Jest to coś, o czym należy zawsze pamiętać (to samo dotyczy klientów e-mail, aplikacji do czatowania itp.).

To, że jest zaszyfrowane, nie oznacza, że ​​jest bezpieczne

Firefox domyślnie pozwala zapisywać hasła. Szyfruje je również . To samo dotyczy Chromu (patrz uzupełnienie „Cóż, to zależy ...” ). Problem polega na tym, że klucz do odszyfrowywania jest również przechowywany z hasłami. To sprawia, że ​​szyfrowanie jest drobną niedogodnością dla kogoś, kto chce hasła i nie zatrzymuje ich w żaden sposób.

Nie przechowuj klucza z hasłami!

Zgadza się, aby hasła były bezpieczniejsze , musimy zabrać klucz od zaszyfrowanych haseł. Odbywa się to w przeglądarce Firefox poprzez ustawienie hasła głównego , które jest następnie używane do szyfrowania i deszyfrowania wszystkich haseł. Korzystając z tej techniki, oddzielasz klucz od zaszyfrowanych danych, co zawsze jest dobrym pomysłem (w końcu nie trzymasz klucza od drzwi wejściowych na haku przed drzwiami na zewnątrz, prawda?).

Hasła są tak bezpieczne, jak je tworzysz

Dlaczego więc powiedziałem wcześniej, że twoje hasła są teraz bezpieczniejsze i nie są bezpieczne ? Ponieważ teraz bezpieczeństwo Twoich haseł zależy od hasła, które wybrałeś. Oznacza to, że hasła „asdf” nie należy w żaden sposób uważać za bezpieczne; nie ma też „12345”. Dobre hasła są długie , ponieważ brutalne ich wymuszanie zajmuje dużo czasu. Hasło „VioletIsAnotherColor” jest technicznie bezpieczniejsze niż „D0! L4riZe” ze względu na swoją długość, mimo że drugi zawiera znaki specjalne. Rzućmy na to okiem.

„VioletIsAnotherColor”
Długość: 20
możliwych znaków: 52 (26 małych i 26 wielkich)

„D0! L4riZe”
Długość: 9
możliwych znaków: 77 (26 dolnych + 26 górnych + 10 cyfr + 15 znaków specjalnych)
Specjalne :! ” @ $% & / () =? * + # -

Ile więc potrzebujemy prób złamania tych haseł, znając ich zestawy znaków i długość?

„VioletIsAnotherColor”
52 ²⁰ = ~ 20 decylionów (~ 2 × 10 ³⁴ )

„D0! L4riZe”
77 ⁹ = ~ 95 biliardów (~ 9 × 10 ¹⁶ )

Jak widzimy, to drugie hasło, pomimo szerszego zestawu znaków, jest łatwiejsze do użycia z użyciem siły, niż długie z ograniczonym zestawem znaków. Wynika to z długości. (Kolejną zaletą jest to, że pierwsza jest łatwiejsza do zapamiętania.) Zobacz to pytanie bezpieczeństwa IT, aby uzyskać szczegółowe informacje na ten temat.

Jeśli to możliwe, użyj hasła, a nie hasła .

Wracając do tematu, jak bezpieczne są moje hasła przed fałszowaniem?

Oni nie są. Wynika to z faktu, że dodatki mają dostęp do witryny, którą właśnie odwiedziłeś. Mogą wyodrębnić z niego informacje, w tym wprowadzone hasła. Dodatki stanowią zagrożenie bezpieczeństwa, jak każde inne zainstalowane oprogramowanie. Instaluj tylko te dodatki, którym ufasz.

Świetny! Skąd to wiem?

Instaluj tylko dodatki ze źródeł, którym ufasz. W przeglądarce Firefox jest to strona AddOns, a w przypadku Chromium - Chrome Web Store lub jeśli ufasz autorowi / dystrybutorowi. Oba gwarantują, że dodatki są sprawdzone i bezpieczne.

Ani strona Mozilla AddOns, ani Chrome Web Store nie gwarantują w żaden sposób, że dodatek jest bezpieczny. Wykorzystują zautomatyzowane procesy przeglądu, które mogą lub mogą wyłapywać złośliwe dodatki. Pod koniec dnia wciąż pozostaje ryzyko.

Zainstalować tylko dodatki, z których źródeł Ci zaufać.

Poczekaj chwilę; czy wspomniałeś właśnie o innym zainstalowanym oprogramowaniu?

Oczywiście! Nic nie stoi na przeszkodzie, aby inne zainstalowane oprogramowanie pobierało hasła z przeglądarki, przeprowadzało ataki typu man-in-the-middle, a nawet zapewniało serwer proxy, który fałszuje witryny bankowe. To samo dotyczy wtyczek do przeglądarek. Ogólna zasada brzmi: nie instaluj oprogramowania, któremu nie możesz zaufać.

Wniosek

Co powinieneś z tego zabrać?

• Nigdy nie instaluj oprogramowania / wtyczek / dodatków, którym nie ufasz.
• Jeśli nadal masz wątpliwości, ustaw hasło główne.
• W razie wątpliwości nie ufaj przeglądarce hasłami, nigdy ich nie zapisuj.
• Jeśli nadal masz wątpliwości, nigdy nie instalować żadnych addons / plugins.
• Jeśli nadal masz wątpliwości, korzystać z systemu na żywo , które nie mogą być naruszone.

Dodatek: „Cóż, to zależy ...”

Gdy zacząłem się uczyć, moje założenia w tym akapicie nie są w 100% poprawne i chciałbym to poprawić. Poniższe informacje dotyczą tylko przechowywania haseł na dysku.

Google Chrome / Chromium

To faktycznie robi Zapisz haseł w bezpieczny sposób na dysku, w zależności od systemu operacyjnego na którym jest uruchomiony:

Microsoft Windows

Interfejs API systemu Microsoft Windows CryptProtectData/ CryptUnprotectDatasłuży do szyfrowania / deszyfrowania hasła. Ten interfejs API działa z hasłem do konta systemu operacyjnego, więc jest tak bezpieczny, jak to hasło.

System operacyjny Mac

Warstwa dla systemu MacOS generuje losowy klucz na podstawie hasła pęku kluczy bieżącego użytkownika i dodaje ten klucz do pęku kluczy. Ponownie, jest to tylko tak bezpieczne, jak hasło użytkownika.

Linux

Cóż ... nie rozmawiajmy o tym.

Dobra, jeśli musisz wiedzieć, robi dokładnie to, co założyłem: przechowuje dane z zakodowanym hasłem. Dlaczego tak jest? Po prostu dlatego, że nie ma wspólnej infrastruktury do obsługi zaszyfrowanych danych w sposób umożliwiający dostęp do pozostałych dwóch systemów. Nie, nie powiedziałem tylko, że Linux nie ma systemów szyfrujących ani bezpieczeństwa; w przestrzeni użytkownika dostępnych jest wiele rozwiązań kluczy / kluczy i kluczy do przechowywania haseł . Jak się wydaje, programiści Chrome postanowili nie używać żadnego z nich. "Dlaczego?" to nie pytanie, na które mogę odpowiedzieć.

Firefox

Zawsze używa wygenerowanego klucza, który jest przechowywany obok haseł. Wyjątkiem jest ustawienie hasła głównego, które również zostanie użyte.