Hvor sikre er dine gemte Chrome Browser-adgangskoder?
Et almindeligt spørgsmål om Google Chrome-browseren er "hvorfor er der ikke et hovedadgangskode?" Google har (uofficielt) taget stilling til, at et hovedadgangskode giver en falsk følelse af sikkerhed, og den mest anvendelige form for beskyttelse for denne følsomme data er gennem generel system sikkerhed.
Så præcis hvor sikker er dine gemte adgangskode data inde i Google Chrome?
Visning af gemte adgangskoder
Chrome indeholder sin egen adgangskodeadministrator, som er tilgængelig via Valg> Personlige ting> Håndter gemte adgangskoder. Dette er ikke noget nyt, og hvis du tillader, at Chrome gemmer dine adgangskoder, er du sikkert allerede klar over denne funktion.
Et godt strejf af mindre sikkerhed er, at du først skal klikke på showknappen ud for hver adgangskode, du vil se.
Selv om der ikke er nogen begrænsning for at få adgang til denne skærm (dvs. hvis du har adgang til skrivebordet, hvor Chrome er installeret, kan du komme til adgangskoderne). Der kræves i det mindste brugerintervention for at få vist hver adgangskode uden at eksportere dem i bulk til en almindelig tekstfil.
Hvor er adgangskode data gemt?
De gemte adgangskode data er gemt i en SQLite database placeret her:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Brugerdata \ Standard \ Login Data
Du kan åbne denne fil (filnavnet er bare "Login Data") ved hjælp af SQLite Database Browser og se "logins" tabellen, der indeholder de gemte adgangskoder. Du vil bemærke, at feltet "password_value" er ulæseligt, fordi værdien er krypteret.
Hvor sikkert er de krypterede data?
For at udføre krypteringen (på Windows) bruger Chrome en Windows-API-funktion, der gør det muligt kun at kryptere de krypterede data af Windows-brugerkontoen, der bruges til at kryptere adgangskoden. Så stort set er dit hovedadgangskode din Windows-adgangskode. Som følge heraf, når du er logget ind på Windows ved hjælp af din konto, kan disse data blive dechifret af Chrome.
Men fordi din Windows-kontoadgangskode er en konstant, er adgang til "master password" ikke eksklusiv for Chrome, da eksterne værktøjer kan komme til disse data - og dekryptere det - så godt. Ved at bruge det frit tilgængelige værktøj ChromePass fra NirSoft kan du se alle dine gemte adgangskode data og nemt eksportere den til en almindelig tekstfil.
Så det er fornuftigt, at hvis ChromePass-hjælpeprogrammet har adgang til disse data, kan malware, der kører som den respektive bruger, også få adgang til det. Når ChromePass.exe er uploadet til VirusTotal, markerer over halvdelen af antivirusviruserne det som farligt. Selvom dette er nyttigt, er det lidt beroligende at se, at denne adfærd i det mindste er markeret af mange af AV-pakker (selvom Microsoft Security Essentials ikke er en af AV-motorerne, der rapporterede det som farligt).
Kan beskyttelsen blive omgået?
Antag, at din computer er stjålet, og tyven nulstiller dit Windows-kodeord for at kunne logge ind på din installation. Hvis de senere skulle forsøge at se adgangskoderne i Chrome eller bruge ChromePass-hjælpeprogrammet, ville adgangskodeoplysningerne ikke være tilgængelige. Årsagen er simpel, da "hovedadgangskoden" (som var din Windows-kontoadgangskode, før de kraftigt nulstillede den uden for Windows), svarer ikke til dekrypteringen fejler.
Hvis nogen blot skulle kopiere Chrome-adgangskode SQLite-databasefilen og forsøge at få adgang til den på en anden computer, ville ChromePass vise tomme adgangskoder af samme årsag som forklaret ovenfor.
Konklusion
I slutningen af dagen afhænger sikkerheden for de Chrome-gemte adgangskoder helt på brugeren:
- Brug en meget stærk Windows-adgangskode. Husk, at der er værktøjer, der kan dechiffrere Windows-adgangskoder. Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte browseradgangskoder.
- Beskyt dig mod malware. Hvis hjælpeprogrammer nemt kan få adgang til dine gemte adgangskoder, hvorfor kan ikke malware?
- Gem dine adgangskoder i et kodeordstyringssystem som KeePass. Selvfølgelig mister du bekvemmeligheden ved at have browseren automatisk udfyld dine adgangskoder.
- Brug et 3rd party-værktøj, som integreres med Chrome, og bruger en masteradgangskode til at administrere dine adgangskoder.
- Krypter hele din harddisk ved hjælp af TrueCrypt. Dette er helt valgfrit og for ultra-beskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de sikkert ikke få noget ud af det.
Bundlinjen er simpelthen for at holde dit system sikkert, og dine Chrome-adgangskoder skal også være rimeligt sikre.
Download ChromePass fra NirSoft
Download SQLite Browser fra Sourceforge