Yleinen kysymys Google Chrome -selaimesta on "miksi ei ole pääsalasanaa?" Google on (epävirallisesti) ottanut kantaa siihen, että pääsalasanalla on väärä tietoturva ja tämän arkaluonteisen tiedon tehokkain suojausmuoto on yleisen järjestelmän turvallisuuden kautta.
Joten kuinka turvallinen on tallennetut salasanasi Google Chromen sisällä?
Chrome, sisältää oman salasananhallinnan, joka on käytettävissä Valinnat> Henkilökohtaiset tavarat> Hallinnoi tallennettuja salasanoja. Tämä ei ole mikään uusi, ja jos annat Chromea tallentamaan salasanoja, olet varmaan jo tietoinen tästä ominaisuudesta.
Kiva pieni vähäinen tietoturva on, että sinun on ensin napsautettava jokaisen salasanan vieressä olevaa näyttöpainiketta, jota haluat tarkastella.
Vaikka tällä näytöllä ei ole rajoituksia (ts. Jos sinulla on pääsy työpöytään, jossa Chrome on asennettu, pääset salasanoihin), käyttäjän salasanan tarkastelemiseen tarvitaan vähintään käyttäjän puuttuminen, eikä niitä voi viedä bulkkiin tavalliseen tekstitiedostoon.
Tallennetut salasanatiedot tallennetaan tässä sijaitsevaan SQLite-tietokantaan:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Käyttäjätiedot \ Oletus \ Kirjautumistiedot
Voit avata tämän tiedoston (tiedostonimi on vain "Login Data") käyttämällä SQLite Database Browser -ohjelmaa ja tarkastella salasanoja sisältävää "kirjautumis" -taulukkoa. Huomaat, että salasanan_arvo-kenttä on lukukelvoton, koska arvo on salattu.
Suorittaakseen salauksen (Windowsissa) Chrome käyttää Windowsin tarjoamaa API-toimintoa, joka salata salasanat salasanalla salasanoitettavalla Windows-käyttäjätunnuksella. Pohjimmiltaan pääsalasana on Windows-tilisi salasana. Tästä seuraa, että kun Chrome kirjautuu Windows-tiliisi, Chrome voi käyttää näitä tietoja.
Koska Windows-tilin salasanasi on vakio, pääsalasanan käyttö ei ole yksinomaan Chromea, koska ulkoiset apuohjelmat voivat saada nämä tiedot ja purkaa sen myös. Käyttämällä NirSoftin vapaasti käytettävissä olevaa ChromePass-apuohjelmaa voit nähdä kaikki tallennetut salasanatietosi ja viedä sen helposti tavalliseen tekstitiedostoon.
Joten on järkevää, että jos ChromePass-apuohjelma voi käyttää näitä tietoja, vastaavalla käyttäjällä toimivat haittaohjelmat voivat käyttää sitä myös. Kun ChromePass.exe ladataan VirusTotal-järjestelmään, yli puolet virustentorjuntaohjelmista merkitsee sen vaaralliseksi. Vaikka tässä tapauksessa apuohjelma on turvallinen, on hieman vakuuttavaa nähdä, että tämä käyttäytyminen on vähintään merkitty monilla AV-paketeilla (vaikka Microsoft Security Essentials ei ole yksi AV-moottoreista, jotka ilmoittivat sen vaarallisiksi).
Oletetaan, että tietokone on varastettu ja varas nollaa Windows-salasanasi, jotta voit kirjautua luonnollisesti laitteeseesi. Jos he myöhemmin yrittäisivät tarkastella Chrome-salasanoja tai käyttää ChromePass-apuohjelmaa, salasanatiedot eivät olleet saatavilla. Syynä on yksinkertainen, koska "pääsalasana" (joka oli Windows-salasanasi, ennen kuin se palautti sen voimakkaasti Windowsin ulkopuolelle) ei vastaa, joten salauksen purku epäonnistuu.
Lisäksi, jos joku yksinkertaisesti kopioisi Chrome-salasanan SQLite-tietokantatiedoston ja yrittää käyttää sitä toisella tietokoneella, ChromePass näyttää tyhjät salasanat edellä kuvatusta syystä.
Päivän päätteeksi Chrome tallentanut salasanat riippuvat täysin käyttäjistä:
Tärkeintä on yksinkertaisesti pitää järjestelmä turvallisena ja Chrome-salasanasi on oltava kohtuullisen turvallisia.
Lataa ChromePass NirSoftilta
Lataa SQLite-selain lähteestä Sourceforge
