5

Если я сохраню пароль в Google Chrome, кто-то другой сможет легко увидеть пароль от

Setting -> Advance Settings -> Manage saved passwords -> Show (in required password field)

и использовать его с другого компьютера. Разве это не вызывает проблему безопасности? Я предполагаю, что это очень безопасно, если он отображает только запись и все точки или что-то для пароля (не фактический пароль).

Есть ли приемлемая идея показать кому-либо пароль так легко?

Примечание: Firefox также показывает действительные пароли, я не проверял в IE.

Хром

3 ответа3

5

Я думаю, что есть две вещи, которые необходимо уточнить:

  1. Firefox позволяет установить мастер-пароль, чтобы сохранить все ваши пароли в безопасности (вы должны ввести мастер-пароль, прежде чем он покажет вам пароли, или ввести в поле для ввода пароля).
  2. Chrome шифрует пароли, используя пароль пользователя для входа в Windows.

Почему Google делает что-то, а не кто-то может ответить (кроме Google). Вот что они сказали до сих пор:

«Наше решение не внедрять функцию« Мастер-пароль »основано на нашей вере в то, что она создает ложное чувство безопасности вместо того, чтобы реально обеспечивать сильную выгоду безопасности»

Я не понимаю, как и многие другие, но это текущее состояние вещей. Если вам не нравится эта часть Chrome, используйте что-то вроде LastPass.

3

Это компромисс безопасности, а не слабость безопасности. Из-за самой природы паролей, если они хранятся таким образом, чтобы их можно было использовать (т. Е. Для заполнения формы), они хранятся таким образом, что их можно извлечь, независимо от того, какая схема используется для хранения или зашифровать их. Скрытие опции показа пароля не меняет того факта, что само приложение в какой-то момент вынуждено его извлекать - и когда это происходит, оно подвергается различным способам его извлечения.

Это звучит как довольно зияющая дыра, пока вы не учитываете другие факторы на работе.

  • Чтобы получить пароли, злоумышленник должен получить доступ к учетной записи пользователя или учетной записи администратора в системе, в которой они хранятся, как правило, с помощью вредоносного программного обеспечения, серфинга по бездействию, необслуживаемого, но незаблокированного компьютера или в некоторых случаях, когда он имеет физический доступ. , через инструменты восстановления.
  • Если злоумышленник может выполнить любое из вышеперечисленных действий, он может вмешаться в работу системы другими способами, включая установку клавиатурных шпионов, программного обеспечения для дистанционного управления, снифферов и программного обеспечения для записи на рабочем столе, поэтому введенный пароль не обязательно будет более безопасным, чем хранится один.
  • Пользователь, который хранит пароли, с большей вероятностью будет использовать уникальные пароли между сайтами, и гораздо чаще будет использовать надежные пароли.
  • Сохраненный пароль потенциально более безопасен, чем заметка под клавиатурой, так как кто-то на самом деле должен войти в свою учетную запись пользователя, чтобы просмотреть его, в то время как он может запомнить, украсть, вручную скопировать или сфотографировать запись.

В действительности, сохраненный пароль подвергается примерно тому же риску, что и введенный пароль для определенного злоумышленника, поскольку определенный злоумышленник будет готов к таким возможностям, как разблокированный ПК или незащищенный офис. Немного потренировавшись и заранее подготовившись, USB-накопитель или веб-сайт можно подготовить для установки руткита менее чем за 15 секунд - меньше, чем требуется для получения чашки кофе. Если вы беспокоитесь о том, что кто-то сядет и покажет сохраненные пароли, у вас будут гораздо большие проблемы с незащищенным и необслуживаемым ПК.

Что касается мастер-паролей, они являются хорошим инструментом, но не слишком доверяйте им. Серьезный злоумышленник, у которого есть возможность подойти к вашему мастер-паролю, уже достаточно далеко, чтобы вставить кейлоггер. Это умеренная защита от взлома и запуска атак на базу данных, пока система выключена, и хорошая защита от случайных взломов, но она не остановит того, кто серьезно хочет получить ваш пароль, от использования незаблокированного компьютера.

В итоге:

  • Сохранение паролей на компьютере само по себе не является серьезной угрозой безопасности, но это усугубляет фактор, который может помочь плохим парням воспользоваться вашей небрежностью, если вы оставите свой компьютер незапертым или позволите кому-то другому пользоваться компьютером, пока Вы вошли в систему. (Они могут нанести тот же ущерб без сохранения ваших паролей - сохраненные пароли просто облегчают их.)
  • Сохранение вашего пароля на компьютере облегчает использование безопасных уникальных паролей.
  • Основные дисциплины безопасности, такие как не уходить от компьютера без его блокировки, не делиться своими паролями, не сохранять СВОЙ пароль в интересах другого пользователя на своем ПК и не позволять кому-либо работать под вашим логином, являются гораздо более важными соображениями безопасности, чем или не сохранять пароли.
  • Мастер-пароль все еще является хорошей идеей, если у вас есть возможность (глубокая защита), но не позволяйте ему создать ложное чувство безопасности. Это дополнительный фактор, а не повод быть небрежным в другом месте.
1

Пароли не показаны никому легко. Можно было бы получить доступ к вашей учетной записи пользователя Windows, в противном случае ваши пароли не могут быть показаны. Поскольку никто, кроме вас, не должен иметь доступ к своей учетной записи (зная ваш пароль), я не понимаю, как поведение Chrome может быть проблемой безопасности.

Хотя в Internet Explorer нет собственного способа отображения сохраненных паролей, они по-прежнему доступны любому пользователю, имеющему доступ к вашей учетной записи, например, с помощью таких инструментов, как http://www.nirsoft.net/utils/internet_explorer_password.html. Отсутствие родного пути можно рассматривать как своего рода псевдобезопасность.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .