Често срещан въпрос за браузъра Google Chrome е "защо няма главна парола?" Google (неофициално) прие, че главната парола осигурява фалшиво чувство за сигурност и най-изгодната форма на защита за тези чувствителни данни е чрез цялостната сигурност на системата.
Точно колко сигурни са вашите запазени данни за паролите в Google Chrome?
Chrome, включва свой собствен мениджър на пароли, който е достъпен чрез Опции> Лични неща> Управление на запазените пароли. Това не е нищо ново и ако позволите на Chrome да ви съхранява пароли, вероятно вече сте наясно с тази функция.
Приятно докосване на малка сигурност е, че първо трябва да кликнете върху бутона за показване до всяка парола, която искате да видите.
Въпреки че няма ограничение за достъп до този екран (т.е. ако имате достъп до работния плот, в който е инсталиран Chrome, можете да стигнете до паролите), за да видите всяка парола е необходимо поне намесата на потребителя, без да можете да ги експортирате групово до обикновен текстов файл.
Запазените данни за паролата се съхраняват в SQLite база данни, която се намира тук:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Výchozí \ Login Data
Можете да отворите този файл (името на файла е само "Данни за вход") посредством SQLite Database Browser и да видите таблицата "вход", която съдържа запазените пароли. Ще забележите, че полето "парола_стойност" е нечетливо, защото стойността е шифрована.
За да извърши криптирането (на Windows), Chrome използва функцията на приложния програмен интерфейс (API), предоставена от Windows, която прави шифрованите данни само дешифрируеми от потребителския акаунт на Windows, използван за шифроване на паролата. Така че основно вашата главна парола е паролата за вашия акаунт в Windows. В резултат на това, след като сте влезли в Windows, като използвате профила си, тези данни се разбират от Chrome.
Тъй като паролата за профила ви в Windows е постоянна, достъпът до "главната парола" не е изключителен за Chrome, тъй като външни помощни програми могат да стигнат до тези данни и да ги декриптират. С помощта на свободно достъпната програма ChromePass от NirSoft можете да видите всичките си запазени данни за паролата и лесно да ги експортирате в обикновен текстов файл.
Значи има смисъл, че ако помощната програма на ChromePass може да получи достъп до тези данни, зловредният софтуер като съответния потребител може да има достъп до него. Когато ChromePass.exe е качен в VirusTotal, малко над половината от антивирусните машини го означават като опасно. Докато в този случай помощната програма е безопасна, е малко успокояващо да се види, че това поведение е най-малкото маркирано от много от AV пакетите (въпреки че Microsoft Security Essentials не е един от AV двигателите, които го съобщават за опасен).
Да предположим, че компютърът ви е откраднат и крадецът възстановява паролата ви за Windows, за да може да се регистрира в инсталацията ви. Ако в последствие се опитаха да видят паролите в Chrome или използват помощната програма на ChromePass, данните за паролите няма да са налице. Причината е проста, тъй като "главната парола" (която е вашата парола за акаунта в Windows, преди да я занулите отново извън Windows) не съвпада, така че декриптирането не е успешно.
Освен това, ако някой просто трябва да копира файла на базата данни с SQLite на Chromeite и да се опита да го осъществи на друг компютър, ChromePass би показал празни пароли за същата причина, обяснена по-горе.
В крайна сметка сигурността на запазените пароли за Chrome зависи изцяло от потребителя:
Най-важното е просто да запазите сигурността на системата си, а паролите за Chrome също трябва да бъдат надеждно защитени.
Изтеглете ChromePass от NirSoft
Изтеглете SQLite Browser от Sourceforge
