Я был просто шокирован тем, что может показать WebBrowserPassView - он в основном показывает все пароли, которые я сохранил в своем браузере (Chrome).
Я предполагаю, что другие пользователи на моем ПК тоже могли легко получить мои пароли. Как мне обезопасить себя?
Chrome "защищает" ваши сохраненные пароли с помощью Windows DPAPI (API защиты данных). DPAPI имеет два режима шифрования или области действия: пользователь и компьютер.
Данные, защищенные в области действия машины, шифруются ключом для каждой машины. Каждый аутентифицированный пользователь на машине может использовать DPAPI для снятия защиты с таких данных, независимо от того, какой пользователь изначально их защищал.
Данные, защищенные в пользовательской области, шифруются ключом для каждого пользователя. Этот ключ защищен другим ключом, полученным из вашего пароля Windows. (Однако это не связано с тем, что Chrome требует от вас ввода пароля Windows для просмотра сохраненных паролей.) К счастью, Chrome использует этот режим.
Интересным следствием шифрования ключей DPAPI для каждого пользователя является то, что защищенные данные не могут быть расшифрованы другими пользователями на машине, даже администраторами, поскольку они могут получить только хэш вашего пароля, а не оригинал. (Это, конечно, не мешает им устанавливать кейлоггеры или другие шпионские программы, которые запускаются как вы.) Если ваш пароль Windows будет принудительно сброшен, а не корректно изменен, данные, защищенные в вашей области, будут, по сути, уничтожены.
Отдельные учетные записи Chrome не имеют к этому никакого отношения, поскольку DPAPI связан только с пользователем Windows.
Поэтому решение состоит в том, чтобы другие люди на компьютере использовали свои собственные учетные записи Windows.
Обратите внимание, что Chrome не поддерживает мастер-пароль для встроенного менеджера паролей / хранилища. Это означает, что любой человек, вошедший в вашу учетную запись пользователя на вашем компьютере, может просматривать ваши пароли Chrome в виде обычного текста, и им даже не понадобится WebBrowserPassView.
Там нет мастер-пароль, нет безопасности, даже нет подсказки, что «эти пароли видны». Посетите
chrome://settings/passwordsв Chrome, если вы мне не верите.
Источник: безумная стратегия безопасности паролей Chrome (более подробно о механизме хранения паролей Chrome в этой статье блога)
Используйте сторонний менеджер паролей, который предлагает поддержку мастер-пароля, такого как KeePass или LastPass, чтобы обойти эту проблему. Если вы хотите использовать вместо этого другой браузер, Firefox предлагает поддержку мастер-пароля, что делает его пароли недоступными для просмотра в WebBrowserPassView.
