Częstym pytaniem dotyczącym przeglądarki Google Chrome jest „dlaczego nie ma hasła głównego?” Google ma (nieoficjalnie) przyjął stanowisko, że hasło główne daje fałszywe poczucie bezpieczeństwa, a najbardziej realną formą ochrony tych wrażliwych danych jest ogólne bezpieczeństwo systemu.
Więc dokładnie, jak bezpieczne są dane zapisanego hasła w Google Chrome?
Przeglądanie zapisanych haseł
Chrome zawiera własnego menedżera haseł, który jest dostępny poprzez Opcje > Prywatne > Zarządzaj zapisanymi hasłami. To nic nowego i jeśli pozwolisz Chrome przechowywać hasła, prawdopodobnie już wiesz o tej funkcji.
Miłym akcentem drobnego zabezpieczenia jest to, że musisz najpierw kliknąć przycisk Pokaż obok każdego hasła, które chcesz wyświetlić.
Chociaż nie ma ograniczeń dostępu do tego ekranu (tj. jeśli masz dostęp do pulpitu, na którym jest zainstalowany Chrome, możesz uzyskać dostęp do haseł), wymagana jest przynajmniej interwencja użytkownika, aby wyświetlić każde hasło bez możliwości zbiorczego ich eksportowania do zwykłego pliku tekstowego.
Gdzie są przechowywane dane hasła?
Zapisane dane hasła są przechowywane w bazie danych SQLite znajdującej się tutaj:
%UserProfile%AppDataLocalGoogleChromeUser DataDefaultLogin Data
Możesz otworzyć ten plik (nazwa pliku to po prostu „Dane logowania”) za pomocą przeglądarki bazy danych SQLite i wyświetlić tabelę „logowania”, która zawiera zapisane hasła. Zauważysz, że pole „password_value” jest nieczytelne, ponieważ wartość jest zaszyfrowana.
Jak bezpieczne są zaszyfrowane dane?
Aby wykonać szyfrowanie (w systemie Windows), Chrome używa funkcji API dostarczanej przez system Windows, która sprawia, że zaszyfrowane dane można odszyfrować tylko za pomocą konta użytkownika systemu Windows używanego do szyfrowania hasła. Zasadniczo twoje hasło główne to hasło do konta Windows. W rezultacie po zalogowaniu się do systemu Windows przy użyciu swojego konta dane te są odczytywane przez Chrome.
Ponieważ jednak hasło do konta Windows jest stałe, dostęp do „hasła głównego” nie jest wyłączny dla Chrome, ponieważ zewnętrzne narzędzia mogą również uzyskać dostęp do tych danych – i je odszyfrować. Korzystając z bezpłatnego narzędzia ChromePass firmy NirSoft, możesz wyświetlić wszystkie zapisane dane dotyczące haseł i łatwo wyeksportować je do zwykłego pliku tekstowego.
Ma więc sens, że jeśli narzędzie ChromePass może uzyskać dostęp do tych danych, złośliwe oprogramowanie działające jako odpowiedni użytkownik również może uzyskać do nich dostęp. Kiedy ChromePass.exe jest przesyłany do VirusTotal, nieco ponad połowa silników antywirusowych określa go jako niebezpieczny. Chociaż w tym przypadku narzędzie jest bezpieczne, nieco uspokajające jest to, że takie zachowanie jest co najmniej sygnalizowane przez wiele pakietów antywirusowych (chociaż Microsoft Security Essentials nie jest jednym z silników antywirusowych, które zgłosiły je jako niebezpieczne).
Czy można obejść ochronę?
Załóżmy, że Twój komputer został skradziony, a złodziej resetuje Twoje hasło do systemu Windows, aby natywnie zalogować się do Twojej instalacji. Gdyby później próbowali wyświetlić hasła w Chrome lub użyć narzędzia ChromePass, dane hasła nie byłyby dostępne. Powód jest prosty, ponieważ „hasło główne” (które było hasłem do konta Windows przed wymuszonym zresetowaniem go poza systemem Windows) nie pasuje, więc odszyfrowanie się nie powiedzie.
Dodatkowo, gdyby ktoś po prostu skopiował plik bazy danych SQLite z hasłem Chrome i próbował uzyskać do niego dostęp na innym komputerze, ChromePass wyświetliłby puste hasła z tego samego powodu, który wyjaśniono powyżej.
Wniosek
Ostatecznie bezpieczeństwo zapisanych haseł w Chrome zależy całkowicie od użytkownika:
- Użyj bardzo silnego hasła do konta Windows. Pamiętaj, że istnieją narzędzia, które mogą odszyfrować hasła systemu Windows. Jeśli ktoś otrzyma hasło do Twojego konta Windows, będzie miał dostęp do zapisanych haseł przeglądarki.
- Chroń się przed złośliwym oprogramowaniem. Jeśli narzędzia mają łatwy dostęp do zapisanych haseł, dlaczego nie może tego zrobić złośliwe oprogramowanie?
- Zapisz swoje hasła w systemie zarządzania hasłami, takim jak KeePass. Oczywiście tracisz wygodę korzystania z automatycznego uzupełniania haseł przez przeglądarkę.
- Użyj narzędzia innej firmy, które integruje się z Chrome i używa hasła głównego do zarządzania hasłami.
- Zaszyfruj cały dysk twardy za pomocą TrueCrypt. Jest to całkowicie opcjonalne i zapewnia wyjątkową ochronę, ale jeśli ktoś nie może odszyfrować twojego dysku, z pewnością nie może nic z niego wyciągnąć.
Najważniejsze jest po prostu zapewnienie bezpieczeństwa systemu, a hasła Chrome również powinny być dość bezpieczne.