Насколько безопасен менеджер паролей в браузерах?


13

Например, в Opera есть функция «палочки», которая запоминает имена пользователей и пароли, введенные вами на разных сайтах.

Допустим, вы получили троян, который крадет данные с вашего компьютера. Может ли троян расшифровывать сохраненные пароли браузерами и использовать их?

Ответы:


4

Все пункты, отмеченные в ответе Боба, действительны, поэтому я не буду повторять их; Тем не менее, я подумал, что некоторая дополнительная информация может быть полезна для некоторых, так как ваш вопрос является серьезной проблемой.

  • Функция Opera Wand позволяет вам указать, как часто запрашивать ваш мастер-пароль, Preferences > Advanced > Security > Ask for passwordс такими вариантами, как «Один раз за сеанс» (который, как правильно указывает Боб, ограничивает вашу безопасность), «Каждые х минут / часов» (если вы не не возражайте возиться с .iniфайлами, вы можете настроить собственную частоту) и «Каждый раз, когда это необходимо» (очевидно, наиболее безопасный вариант, поскольку ваш пароль не будет храниться в памяти во время сеанса просмотра). Я не использую Firefox, но могу представить, что где-то есть подобное расширение.

  • Данные Wand хранятся в файле под названием, ждите его, wand.datв формате, который можно расшифровать с относительно небольшими усилиями, если мастер-пароль не используется; если вы делаете использовать мастер - пароль, он зашифрован с использованием случайного компонента и мастер - пароль с алгоритмом , который в настоящее время ускользает от меня (должно быть легко искать , хотя).

  • Если вы используете пароль для сайта, безопасность которого важнее для вас, чем обычный логин, вы можете просто не сохранять пароль .

  • Личные вкладки в Opera (или их эквиваленты в других браузерах) позволяют хранить данные сеанса этой вкладки отдельно от данных в «обычных» вкладках, что может добавить еще один уровень безопасности.

  • Модель безопасности, используемая в Chrome и его производных (то есть «песочница» для каждой вкладки в отдельном потоке), обеспечивает еще большую безопасность.

  • Вы можете защититься от клавиатурных шпионов и таких регулярно:

    • обновление антивирусного и брандмауэрного программного обеспечения; и
    • смена ваших паролей.

Подводить итоги:

  • Уровень безопасности вашего браузера и логинов зависит от вас в значительной степени.

  • Если бы кто-то был очень опытным и находчивым, он, возможно, мог бы в конечном итоге получить ваши данные, несмотря на все вышеперечисленные меры предосторожности, но это сделало бы данные вашего браузера намного более безопасными и повысило бы уровень сложности, необходимый для значительного взлома.


22
  • Если на вашем компьютере установлено вредоносное ПО, никакие введенные или сохраненные на нем пароли не могут считаться действительно безопасными. Даже зашифрованные пароли, такие как базы данных KeyPass, как только вы введете детали, необходимые для его расшифровки, злоумышленник сможет восстановить ваши пароли.

  • Браузеры обычно не обращают особого внимания на безопасность сохраненных паролей, по крайней мере, с настройками по умолчанию.


Допустим, вы получили троян, который крадет данные с вашего компьютера. Может ли троян расшифровывать сохраненные пароли браузерами и использовать их?

Одним словом, да. Браузеры, как правило, не шифруют запомненные пароли, поэтому их можно прочитать с тривиальными усилиями. Шифрование с сохраненным ключом в любом случае бесполезно: если браузер может расшифровать его, другие программы, работающие на том же компьютере, могут сделать то же самое.

Я наиболее знаком с Firefox, поэтому я пойду с этим.

Firefox позволяет вам установить «мастер-пароль». Если вы это сделаете, он шифрует сохраненные пароли с мастер-паролем. Однако, для удобства, вы должны входить в систему с использованием этого мастер-пароля только один раз за сеанс. После входа в систему информация, необходимая для расшифровки сохраненных паролей, сохраняется в памяти и может быть доступна. Более безопасный и обременительный подход состоял бы в том, чтобы требовать, чтобы мастер-пароль вводился каждый раз, когда Firefox требовалось найти сохраненный пароль.

Даже если сохраненные пароли были полностью зашифрованы и полностью недоступны, они должны быть расшифрованы и в какой-то момент введены в веб-формы. Что означает хранение паролей в незашифрованном виде в памяти. Есть на самом деле довольно много « звездочка открывающих программ» , разработанные , чтобы захватить эти пароли из памяти и, ну, раскрыть их. Вредоносные программы могут теоретически сделать то же самое.

Кроме того, вредоносные программы могут также блокировать вас, позволяя злоумышленнику получить любой введенный вами пароль.


Там очень углубленное изучение пароля безопасности во всех основных браузерах (IE, Chrome, FF) здесь . Подводя итог, можно сказать, что и Chrome, и IE10 используют процедуры шифрования Windows, которые считаются надежными. Однако они не защищают от других программ, работающих под тем же пользователем , т.е. они бесполезны против вредоносных программ. Опять же, любая исполняемая программа (от имени администратора) может захватывать информацию из памяти или с помощью кейлогинга в любом случае.

Метод шифрования наиболее важен, когда вы рассматриваете возможность кражи ваших сохраненных данных для последующего анализа, например, кто-то крадется и копирует ваш или похищает ваш компьютер. В целом, все современные браузеры хорошо защищают от этой формы атаки. Firefox с хорошим и надежным паролем снова предпочтительнее, поскольку зашифрованные данные Windows можно восстановить, войдя в учетную запись пользователя Windows, и пароль Windows больше не является полностью безопасным. Обратите внимание, что ничто из этого не остановит очень решительного нападающего.


Стоит заметить, что если вы используете аутентификатор, то возможности злоумышленника по краже ваших паролей значительно сокращаются.
о0 '.

1

NirSoft предоставляет инструмент под названием «IEPassView», который может расшифровывать Internet Explorer 8 и под паролями. Системная информация для Windows может сделать то же самое; просто нажмите на ключ сверху.

NirSoft предоставляет инструменты «восстановления пароля» для многих популярных браузеров ( http://www.nirsoft.net/password_recovery_tools.html ) - они являются хорошим «доказательством концепции», показывающим, что встроенное хранилище паролей небезопасно ,


Хм ... это немного вводит в заблуждение, на самом деле. Вы не упомянули, что подобные инструменты либо вообще не работают с логинами, защищенными мастер-паролем, либо требуют мастер-пароль для «расшифровки» данных для входа. По крайней мере, это относится к Opera / Chrome / Firefox, не уверен, что IE делает, вы вполне можете быть прямо там.
Амос М. Карпентер

1

Lastpass и софт вроде него - это хорошие удобные ответы. Хотя они не обеспечивают вам полной безопасности (вам все равно нужно выполнять базовые функции, такие как брандмауэр, антивирус и т. Д.), Это хороший способ управления вашими паролями. Также из-за того, что он хранится в волшебном облаке, вы можете получить к ним доступ из любого места (в отличие от некоторых локальных программ, где вам нужно хранить их на своем компьютере, чтобы получить к нему доступ).


1
Я хотел бы еще раз отметить, что это не защитит от вредоносных программ, работающих локально. Во-первых, вредоносная программа может перехватить ваш главный пароль Lastpass. Двухфакторная аутентификация может защитить от этого, но тогда вы можете утечь пароли в процессе ввода их на целевую веб-страницу. Дело в том, что если на вашем компьютере запущено (повышено) количество вредоносных программ, ваши незашифрованные данные будут испорчены. И ваши зашифрованные данные облажаются, как только вы пытаетесь получить к ним доступ.
Боб

(Это все еще хорошее предложение [я лично использую Keepass, ни одного из этого облачного мусора], но я должен рассмотреть вопрос, поднятый в этом вопросе.)
Боб,

@Bob также проблема в том, что даже на локальном компьютере вредоносная программа может делать то же самое, перехватывая пароли. Копирование и вставка также могут быть отслежены, поэтому при использовании пароля он отслеживается. Хорошего способа нет, двухфакторную аутентификацию действительно трудно обойти.
Гриффин

Да, я не говорю, что Keepass более защищен от локально запускаемых вредоносных программ.
Боб
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.