Например, в Opera есть функция "палочки", которая запоминает имена пользователей и пароли, введенные вами на разных сайтах.
Допустим, вы получили троян, который крадет данные с вашего компьютера. Может ли троян расшифровать сохраненные пароли браузерами и использовать их?
Если на вашем компьютере установлено вредоносное ПО, никакие введенные или сохраненные на нем пароли не могут считаться действительно безопасными. Даже зашифрованные пароли, такие как базы данных KeyPass, как только вы введете детали, необходимые для его расшифровки, злоумышленник сможет восстановить ваши пароли.
Браузеры обычно не обращают особого внимания на безопасность сохраненных паролей, по крайней мере, с настройками по умолчанию.
Допустим, вы получили троян, который крадет данные с вашего компьютера. Может ли троян расшифровать сохраненные пароли браузерами и использовать их?
Одним словом, да. Браузеры, как правило, не шифруют запомненные пароли, поэтому их можно прочитать с тривиальными усилиями. Шифрование с сохраненным ключом в любом случае бесполезно: если браузер может расшифровать его, другие программы, работающие на том же компьютере, могут сделать то же самое.
Я наиболее знаком с Firefox, поэтому я пойду с этим.
Firefox позволяет вам установить «мастер-пароль». Если вы это сделаете, он шифрует сохраненные пароли с мастер-паролем. Однако, для удобства, вы должны входить в систему с использованием этого мастер-пароля только один раз за сеанс. После входа в систему информация, необходимая для расшифровки сохраненных паролей, сохраняется в памяти и доступна для доступа. Более безопасный и обременительный подход состоял бы в том, чтобы требовать, чтобы мастер-пароль вводился каждый раз, когда Firefox требовалось найти сохраненный пароль.
Даже если сохраненные пароли были полностью зашифрованы и полностью недоступны, их необходимо в какой-то момент дешифровать и ввести в веб-формы. Что означает хранение паролей в незашифрованном виде в памяти. Есть на самом деле довольно много « Звездочку открывающих программ» , разработанные , чтобы захватить эти пароли из памяти и, ну, раскрыть их. Вредоносные программы могут теоретически сделать то же самое.
Кроме того, вредоносные программы могут также блокировать вас, позволяя злоумышленнику получить любой введенный вами пароль.
Там очень углубленное изучение пароля безопасности во всех основных браузерах (IE, Chrome, FF) здесь. Подводя итог, можно сказать, что и Chrome, и IE10 используют процедуры шифрования Windows, которые считаются надежными. Однако они не защищают от других программ, работающих под тем же пользователем, т.е. они бесполезны против вредоносных программ. Опять же, любая исполняемая программа (от имени администратора) может захватывать информацию из памяти или путем записи ключей в любом случае.
Метод шифрования наиболее важен, когда вы рассматриваете возможность кражи ваших сохраненных данных для последующего анализа, например, кто-то подкрадывается и копирует ваш или похищает ваш компьютер. В целом, все современные браузеры хорошо защищают от этой формы атаки. Firefox с хорошим и надежным паролем снова предпочтительнее, поскольку зашифрованные данные Windows могут быть восстановлены путем входа в учетную запись пользователя Windows, и пароль Windows больше не является полностью безопасным. Обратите внимание, что ничто из этого не остановит очень решительного атакующего.
Все пункты, отмеченные в ответе Боба, действительны, поэтому я не буду повторять их; Тем не менее, я подумал, что некоторая дополнительная информация также может быть полезна для некоторых, так как ваш вопрос является серьезной проблемой.
Функция Opera Wand позволяет вам указать, как часто запрашивать ваш главный пароль, в разделе « Preferences > Advanced > Security > Ask for password с такими вариантами, как "Один раз за сеанс" (который, как правильно указывает Боб, ограничивает вашу безопасность), «Каждый x минут / часов "(если вы не возражаете возиться с файлами .ini , вы можете настроить собственную частоту) и" Каждый раз, когда это необходимо "(очевидно, наиболее безопасный вариант, поскольку ваш пароль не будет сохранен в памяти во время просмотра сессия). Я не использую Firefox, но могу представить, что где-то есть подобное расширение.
Данные Wand хранятся в файле под названием, подождите его, wand.dat в формате, который можно расшифровать с относительно небольшими усилиями, если мастер-пароль не используется; если вы используете мастер - пароль, он зашифрован с использованием случайного компонента и мастер - пароль с алгоритмом , который в настоящее время ускользает от меня (должно быть легко искать , хотя).
Если вы используете пароль для сайта, безопасность которого важнее для вас, чем обычный логин, вы можете просто не сохранять пароль.
Личные вкладки в Opera (или их эквиваленты в других браузерах) позволяют хранить данные сеанса этой вкладки отдельно от данных в "обычных" вкладках, что может добавить еще один уровень безопасности.
Модель безопасности, используемая в Chrome и его производных (то есть "песочница" для каждой вкладки в отдельном потоке), обеспечивает еще большую безопасность.
Вы можете защититься от клавиатурных шпионов и таких регулярно:
Подводить итоги:
Уровень безопасности вашего браузера и ваших логинов в значительной степени зависит от вас .
Если бы кто-то был очень опытным и находчивым, он, возможно, мог бы в конечном итоге получить ваши данные, несмотря на все вышеперечисленные меры предосторожности, но это сделало бы данные вашего браузера гораздо более безопасными и повысило бы уровень сложности, необходимый для значительного взлома.
Lastpass и подобное программное обеспечение - это хорошие удобные ответы. Хотя они не обеспечивают вам полной безопасности (вам все равно нужно выполнять базовые функции, такие как брандмауэр, антивирус и т.д.), Это хороший способ управления вашими паролями. Также из-за того, что он хранится в волшебном облаке, вы можете получить к ним доступ из любой точки мира (в отличие от некоторых локальных программ, где вы должны хранить их на своем компьютере, чтобы получить к нему доступ).
NirSoft предоставляет инструмент под названием "IEPassView", который может расшифровывать Internet Explorer 8 и под паролями. Системная информация для Windows может сделать то же самое; просто нажмите на ключ сверху.
NirSoft предоставляет инструменты "восстановления пароля" для многих популярных браузеров (http://www.nirsoft.net/password_recovery_tools.html) - они являются хорошим "доказательством концепции", показывающим, что встроенное хранилище паролей небезопасно ,
