Jak bezpieczny jest menedżer haseł w przeglądarkach?


13

Na przykład Opera ma funkcję „różdżki”, która zapamiętuje nazwy użytkowników i hasła wpisane w różnych witrynach.

Załóżmy, że masz trojana, który kradnie dane z komputera. Czy trojan może odszyfrować zapisane hasła za pomocą przeglądarek i używać ich?

Odpowiedzi:


4

Wszystkie punkty odnotowane w odpowiedzi Boba są ważne, więc nie zawracam sobie głowy ich powtarzaniem; Pomyślałem jednak, że niektóre dodatkowe informacje mogą być pomocne dla niektórych, ponieważ twoje pytanie jest ważne.

  • Funkcja Różdżki Opery pozwala określić, jak często należy pytać o hasło główne w ramach Preferences > Advanced > Security > Ask for passwordopcji takich jak „Raz na sesję” (która, jak słusznie zauważył Bob, ogranicza twoje bezpieczeństwo), „Co x minut / godzin” (jeśli nie nie .inimasz nic przeciwko majstrowaniu przy plikach, możesz dostosować własną częstotliwość) i „Za każdym razem, gdy jest to potrzebne” (oczywiście najbardziej bezpieczna opcja, ponieważ twoje hasło nie będzie przechowywane w pamięci podczas sesji przeglądania). Nie używam Firefoksa, ale mogę sobie wyobrazić, że gdzieś dostępne jest podobne rozszerzenie.

  • Dane różdżki są przechowywane w pliku o nazwie, poczekaj na to, wand.datw formacie, który można odczytać przy stosunkowo niewielkim wysiłku, jeśli nie zostanie użyte hasło główne; jeśli zrobić użyć hasła głównego, to jest szyfrowana przy użyciu składnika losowego i hasła głównego z algorytmu, który obecnie ucieka mi (powinny być łatwe do wyszukania chociaż).

  • Jeśli używasz hasła do witryny, której bezpieczeństwo jest dla Ciebie ważniejsze niż przeciętny login, możesz po prostu nie zapisywać hasła .

  • Prywatne karty w Operze (lub ich odpowiedniki w innych przeglądarkach) pozwalają przechowywać dane sesji tej karty osobno od danych na „normalnych” kartach, co może dodawać kolejną warstwę bezpieczeństwa.

  • Model bezpieczeństwa używany w Chrome i jego pochodnych (czyli piaskownicowanie każdej karty w osobnym wątku) zapewnia jeszcze większe bezpieczeństwo.

  • Możesz chronić się przed keyloggerami i regularnie, regularnie:

    • aktualizacja oprogramowania antywirusowego i zapory ogniowej; i
    • zmiana hasła.

Podsumowując:

  • Poziom bezpieczeństwa Twojej przeglądarki i twoich loginów zależy w dużej mierze od Ciebie .

  • Jeśli ktoś był bardzo wykwalifikowani i zaradny, mogliby prawdopodobnie uzyskać w danych ostatecznie mimo wszystkich powyższych środków ostrożności, ale to by uczynić dane Twoja przeglądarka jest znacznie bardziej bezpieczna i podniesie poziom wyrafinowania wymagana do złamania go znacznie.


22
  • Jeśli masz złośliwe oprogramowanie na swoim komputerze, żadne hasła wprowadzone lub zapisane na nim nie mogą być uznane za naprawdę bezpieczne. Nawet zaszyfrowane hasła, takie jak bazy danych KeyPass, natychmiast po wprowadzeniu danych wymaganych do ich odszyfrowania atakujący może odzyskać twoje hasła.

  • Przeglądarki zwykle nie przywiązują dużej wagi do bezpieczeństwa zapisanych haseł, przynajmniej nie przy ustawieniach domyślnych.


Załóżmy, że masz trojana, który kradnie dane z komputera. Czy trojan może odszyfrować zapisane hasła za pomocą przeglądarek i używać ich?

Jednym słowem: tak. Przeglądarki zwykle nie szyfrują zapamiętanych haseł, dzięki czemu można je czytać w trywialny sposób. Szyfrowanie za pomocą przechowywanego klucza i tak jest bezużyteczne: jeśli przeglądarka jest w stanie go odszyfrować, inne programy działające na tym samym komputerze mogą zrobić to samo.

Najbardziej znam Firefoxa, więc pójdę z tym.

Firefox pozwala ustawić „hasło główne”. Jeśli to zrobisz, szyfruje zapisane hasła hasłem głównym. Jednak dla wygody należy logować się przy użyciu tego hasła głównego tylko raz na sesję. Po zalogowaniu informacje niezbędne do odszyfrowania zapisanych haseł są przechowywane w pamięci i można do nich uzyskać dostęp. Bardziej bezpiecznym i kłopotliwym podejściem byłoby wymaganie wpisywania hasła głównego za każdym razem, gdy Firefox potrzebował wyszukać zapisane hasło.

Nawet jeśli zapisane hasła były doskonale zaszyfrowane i całkowicie niedostępne, należy je w pewnym momencie odszyfrować i wprowadzić w formularzach internetowych. Co oznacza przechowywanie haseł w postaci niezaszyfrowanej w pamięci. Są rzeczywiście sporo ' gwiazdka Revealer programy zaprojektowany złapać tych haseł z pamięci, a także ujawniają je. Złośliwe oprogramowanie mogłoby teoretycznie zrobić to samo.

Złośliwe oprogramowanie może również rejestrować Cię w rejestrze, umożliwiając napastnikowi odzyskanie dowolnego wpisanego hasła.


Jest to badanie bardzo dogłębne zabezpieczenia hasłem całej głównych przeglądarek (IE, Chrome, FF) tutaj . Podsumowując, zarówno Chrome, jak i IE10 polegają na procedurach szyfrowania systemu Windows, które są uważane za silne. Nie chronią jednak przed innymi programami działającymi pod tym samym użytkownikiem , tzn. Są bezużyteczne wobec złośliwego oprogramowania. Ponownie, każdy wykonujący program (jako Administrator) może pobrać informacje z pamięci lub logując się przy użyciu klawiszy.

Metoda szyfrowania jest najważniejsza, gdy bierze się pod uwagę możliwość kradzieży zapisanych danych w celu późniejszej analizy, np. Ktoś wkradający się i kopiujący twój komputer lub ukradł go. Ogólnie rzecz biorąc, wszystkie współczesne przeglądarki wykonują przyzwoitą ochronę przed taką formą ataku. Ponownie preferowane jest Firefox z dobrym, silnym hasłem, ponieważ zaszyfrowane dane systemu Windows można odzyskać, logując się na konto użytkownika systemu Windows, a hasło systemu Windows nie jest już w pełni bezpieczne. Pamiętaj, że żaden z nich nie powstrzyma bardzo zdeterminowanego napastnika.


Warto zauważyć, że jeśli używasz uwierzytelnienia, opcje złośliwego atakującego dotyczące kradzieży haseł są znacznie ograniczone.
o0 ”.

1

NirSoft zapewnia narzędzie o nazwie „IEPassView”, które może odszyfrować program Internet Explorer 8 i hasła. Informacje o systemie Windows mogą zrobić to samo; po prostu kliknij klucz u góry.

NirSoft zapewnia narzędzia do „odzyskiwania hasła” dla wielu popularnych przeglądarek ( http://www.nirsoft.net/password_recovery_tools.html ) - stanowią one dobry „dowód koncepcji” pokazujący, że wbudowane przechowywanie haseł nie jest bezpieczne .


Uhm ... to trochę mylące. Nie wspomniałeś, że takie narzędzia albo w ogóle nie działają przy logowaniach chronionych hasłem głównym, albo potrzebują hasła głównego, aby „odszyfrować” dane logowania. Przynajmniej dotyczy to przeglądarki Opera / Chrome / Firefox, nie jestem pewien, co robi IE, być może właśnie tam jesteś.
Amos M. Carpenter

1

Lastpass i podobne oprogramowanie to dobre, wygodne odpowiedzi. Chociaż nie zapewniają całkowitego bezpieczeństwa (nadal musisz wykonywać podstawowe czynności, takie jak zapora ogniowa, program antywirusowy itp.), Jest to dobry sposób na zarządzanie hasłami. Również dlatego, że jest przechowywany w magicznej chmurze, możesz uzyskać do niego dostęp z dowolnego miejsca (w przeciwieństwie do niektórych lokalnych programów, w których musisz przechowywać na swoim komputerze, aby uzyskać do niego dostęp).


1
Chciałbym jeszcze raz zauważyć, że nie ochroniłoby to przed złośliwym oprogramowaniem działającym lokalnie. Po pierwsze, złośliwe oprogramowanie może przechwycić twoje główne hasło Lastpass. Uwierzytelnianie dwuskładnikowe może przed tym zabezpieczyć, ale możesz wyciekać hasła podczas wpisywania ich na docelowej stronie internetowej. Faktem jest, że jeśli złośliwe oprogramowanie jest uruchomione (podniesione) na twoim komputerze, twoje niezaszyfrowane dane są wkręcone. Twoje zaszyfrowane dane zostaną wkręcone, gdy tylko spróbujesz uzyskać do nich dostęp.
Bob

(To wciąż dobra sugestia [ja osobiście korzystam z Keepass, żadnych śmieci w chmurze], ale muszę odnieść się do kwestii poruszonej w pytaniu.)
Bob

@Bob istnieje również problem polegający na tym, że nawet na lokalnym komputerze złośliwe oprogramowanie może zrobić to samo, przechwytując hasła. Kopiowanie i wklejanie można również śledzić, więc gdy używasz hasła, jest ono śledzone. Nie ma dobrego sposobu, uwierzytelnienie 2-czynnikowe jest NAPRAWDĘ trudne do pokonania.
Griffin,

Tak, nie twierdzę, że Keepass jest bardziej bezpieczny przed lokalnie uruchamianym złośliwym oprogramowaniem.
Bob
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.