Često pitanje o pregledniku Google Chrome jest "zašto nema glavne lozinke?" Google je (neslužbeno) preuzeo poziciju da glavna lozinka pruža lažni osjećaj sigurnosti, a najodrživiji oblik zaštite tih osjetljivih podataka je kroz cjelokupnu sigurnost sustava.
Pa točno koliko je sigurna vaša spremljena zaporka u Google Chromeu?
Chrome sadrži vlastiti upravitelj zaporki koji je dostupan putem Opcije> Osobne stvari> Upravljanje spremljenim zaporkama. Ovo nije ništa novo i ako dopustite Chromeu pohranjivanje zaporki, vjerojatno ste već svjesni ove značajke.
Dobar dodir manje sigurnosti je da najprije morate kliknuti gumb za prikaz pored svake lozinke koju želite pregledati.
Iako nema ograničenja za pristup ovom zaslonu (tj. Ako imate pristup radnoj površini na kojoj je instaliran Chrome, možete doći do zaporki), barem je potrebna intervencija korisnika da biste vidjeli svaku zaporku bez ikakvog načina da ih izvozite bulk u običnu tekstualnu datoteku.
Spremljene podatke za lozinku pohranjuju se u SQLiteovoj bazi koja se nalazi ovdje:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Korisni podaci \ Zadano \ Podaci za prijavu
Možete otvoriti ovu datoteku (naziv datoteke je samo "Podaci o prijavi") pomoću SQLite Database Browser i pregled tablice "prijave" koja sadrži spremljene zaporke. Primjetit ćete da je polje "password_value" nečitljivo jer je vrijednost kriptirana.
Da biste izvršili šifriranje (u sustavu Windows), Chrome upotrebljava funkciju API-ja tvrtke Windows, čime se šifrirani podaci mogu dešifrirati samo pomoću korisničkog računa za Windows koji se koristi za šifriranje zaporke. Znači, vaša glavna lozinka je zaporka vašeg Windows računa. Kao rezultat toga, nakon što se prijavite u sustav Windows pomoću svog računa, Chrome ih može izbrisati.
Međutim, budući da je zaporka vašeg računa za sustav Windows stalna, pristup "glavnoj lozinki" ne isključuje Chrome jer i vanjski programi mogu doći do tih podataka - i dekriptirati ih. Korištenje slobodnog softvera ChromePass tvrtke NirSoft možete vidjeti sve podatke spremljene lozinke i jednostavno ih izvesti u običnu tekstualnu datoteku.
Stoga je smisleno da ako uslužni program ChromePass može pristupiti tim podacima, pristupiti će i malware koji se izvodi kao odgovarajući korisnik. Kada se ChromePass.exe prenese u VirusTotal, nešto više od polovice protuvirusnih motora označava je kao opasno. Iako je ovaj program siguran, malo je ohrabrujuće vidjeti da je ovo ponašanje barem označeno mnogim AV paketima (iako Microsoft Security Essentials nije jedan od AV modela koji su je prijavili kao opasni).
Pretpostavimo da je vaše računalo ukradeno i lopov vraća lozinku za sustav Windows kako bi se prirodno prijavila na vašu instalaciju. Ako bi naknadno pokušali pregledati zaporke u Chromeu ili upotrebljavati uslužni program ChromePass, podaci o lozinkama neće biti dostupni. Razlog je jednostavan jer je "glavna lozinka" (koja je bila zaporka vašeg računa za sustav Windows prije nego što ih je prisilno resetirala izvan sustava Windows) ne podudara se tako da dešifriranje ne uspije.
Osim toga, ako bi netko jednostavno kopirao datoteku lozinke za SQL lozinku SQLite i pokušao je pristupiti na drugom računalu, ChromePass bi prikazivao prazne lozinke iz istog razloga koji su gore objašnjeni.
Na kraju dana sigurnost zaporki spremljenih za Chrome u potpunosti ovisi o korisniku:
Dno crta jednostavno je da vaš sustav bude siguran, a zaporke za Chrome trebaju biti i razumno sigurne.
Preuzmite ChromePass iz NirSoft
Preuzmite SQLite preglednik iz Sourceforgea
