Quanto è sicuro conservare una password di Chrome?

Chrome non solo memorizza il testo della tua password, ma te lo mostrerà. Sotto Impostazioni - > avanzato - > gestisci le password puoi trovare tutte le tue password per tutti i tuoi siti. Fai clic su mostra su uno di essi e verrà visualizzato in chiaro.

Le password con hash funzionano per il sito che ti autentica. Non sono un'opzione per i gestori di password. Molti crittografano i dati localmente, ma la chiave verrà anche archiviata localmente, a meno che non si disponga di una configurazione della password principale.

Personalmente, io uso il gestore delle password di Chrome e lo trovo conveniente. Tuttavia, ho anche la crittografia completa del disco e blocco il mio schermo diligentemente. Ciò rende ragionevole il rischio imho.

Sembra che tu sia incoerente (molti lo sono) sia selezionando le password memorabili sia utilizzando un gestore di password. E posso azzardare a indovinare che potresti persino ripetere la password o almeno il tema su molti siti. Questo ti dà il peggio di entrambi i mondi. Ottieni i rischi del gestore di password senza i vantaggi.

Con un gestore di password di cui ti fidi, puoi dare a ciascun sito una password casuale unica non memorabile e ottenere molta protezione da molti vettori di attacco molto reali. In cambio di un singolo punto di errore del tuo gestore di password. Anche con un gestore di password non perfetto questo non è un compromesso irragionevole. Con un buon gestore di password questo sta diventando la best practice del consenso.

Modifica da aggiungere: leggi Henno Brandsma risponde spiegando come la password di accesso e il supporto del sistema operativo possono essere utilizzati per crittografare le password, questo fornisce un ragionevole livello di protezione alle password quando il computer è spento / bloccato (la crittografia completa del disco è migliore) e non aiuta molto se lasci il tuo computer sbloccato. Anche se il browser richiede la password per mostrare gli strumenti di debug in testo normale, sarà comunque possibile visualizzare le password già inserite come commenti @Darren_H. La raccomandazione precedente continua a utilizzare password univoche casuali e un gestore di password.

Chrome (in Windows) in realtà crittografa le password quando memorizzato. Ma lo fa in un modo che solo qualcuno che conosce la tua password di accesso (o dirottare la tua sessione di accesso) può effettivamente utilizzare o visualizzare le password memorizzate. Questo è ben documentato (utilizza la cosiddetta Data Protection API (DPAPI), che è in Windows da NT 5.0 (cioè Windows 2000) in poi, che oggi utilizza AES-256 per crittografare i dati della password). Google ritiene che questa sicurezza sia sufficiente, poiché ha lo stesso livello di protezione dell'intero accesso. Su Mac o Linux usano la tecnologia keychain nativa per proteggere una password master di Chrome speciale, ottenendo lo stesso effetto, in sostanza. Leggi le fonti per tutti i dettagli ...

Edge e IE (disponibili ovviamente solo su Windows) utilizzano questa tecnologia, BTW, sotto un wrapper chiamato Credential Store, nelle ultime versioni di Windows (e prima che usassero i dati DPAPI memorizzati nel registro). Per maggiori informazioni su DPAPI, vedi qui , ad es.

Vedi link per un esempio su come le persone estraggono i dati memorizzati delle password, conoscendo le tue credenziali di accesso.

Per favore, per favore, smetti di riutilizzare le tue password!

In Firefox puoi effettivamente impostare una password principale che proteggerà le tue password memorizzate dalla visualizzazione. Questa password principale sarà richiesta anche una volta per sessione prima che il browser inizi a compilare le password per te.

Puoi anche utilizzare un gestore di password generico, ad esempio Keepass .

In ogni caso, per la maggior parte delle persone il pericolo di perdere una password perché un sito è stato violato è più grande che perderlo sul proprio computer. Questo perché un utente malintenzionato con accesso al tuo computer ha molte altre opzioni per attaccarti. Uno dei principali vantaggi dell'utilizzo di un gestore di password è che non è necessario immettere manualmente la password in modo da poter effettivamente scegliere password completamente casuali e sicure.

Se hai riutilizzato le password per un po ', c'è un sito accurato per controllare alcune delle violazioni più importanti per vedere se sei stato interessato: link

Se devi utilizzare molte macchine diverse puoi prendere in considerazione l'utilizzo di qualcosa come Keepass2Android sul telefono.

Chrome è vulnerabile al dumping delle password. Ci sono molti strumenti là fuori che scaricheranno le password di Chrome. LaZagne è uno di questi. Non hai nemmeno bisogno di privilegi o credenziali di amministratore o altro.

Apparentemente, questo è semplice come connettersi al database SQLite e quindi chiamare Win32CryptUnprotectData per decodificare la password.

link

Un utente malintenzionato può semplicemente eseguire questo dump di password o installare malware e quindi eseguire in remoto questo strumento. Tuttavia, un utente non tecnico non sarebbe in grado di svolgere questa attività. Pertanto, la memorizzazione delle password nel browser è sicura contro le persone non tecniche, ma inefficace contro malware o utenti tecnici.

Puoi anche visualizzare le password in Chrome modificando l'HTML. Cambia il tipo di campo di input in "testo" e puoi vedere le informazioni precompilate in testo normale. Quindi, se qualcuno sul tuo computer conosce un sito web sul quale sei registrato e Chrome carica automaticamente la tua password, può vederla.

Il più grande pericolo è avere un browser senza una password principale e lasciare il computer senza bloccarlo: chiunque può quindi fare rapidamente una foto delle password memorizzate, ci vogliono solo pochi secondi. Quindi è ovvio: blocca sempre il tuo computer e imposta una password principale, non riusare password o pattern simili ...

Se sei preoccupato per qualcuno che accede al tuo portatile mentre sei loggato (ad esempio lo stai usando al lavoro o in un luogo pubblico e occasionalmente lo lasci non sorvegliato, o non ti fidi di un membro della famiglia), memorizzando la password in un browser non è una buona soluzione. Se sei preoccupato per il malware sul tuo computer (che potrebbe catturare la tua digitazione) o per le persone che vedono ciò che scrivi, è piuttosto sicuro contro di esso, e queste sono preoccupazioni molto più comuni.

È abbastanza certo che nessun meccanismo è sicuro al 100%, ma alcuni meccanismi sono più sicuri di altri. Al livello più semplice, una password lunga è più sicura di una password corta, ma è più difficile da ricordare e digitare correttamente. Quello che devi decidere è dove si trova l'equilibrio tra sicurezza e facilità d'uso. I gestori di password sono una risposta se il rapporto costi / rischi è giusto per te.

Se non ti fidi dei meccanismi che memorizzano la tua password sul tuo computer, allora un modo per aggirare questo è usare un algoritmo per generarne uno ogni volta che ne hai bisogno. Mi capita di utilizzare un piccolo programma che implementa una variante di Playfair ( link ) per generare parte della mia password per qualsiasi sito - che ha il vantaggio di poterlo creare a mano se necessario. Tuttavia, evita algoritmi banali (come semplicemente invertendo le lettere in un sito web).

Molte aziende richiedono di cambiare periodicamente la password. Questo era uno standard, ma GCHQ ora sconsiglia la pratica (vedi link ), proprio per la ragione che hai menzionato. Speriamo che questo requisito diventi meno frequente nel tempo.

Dipende dalla tua piattaforma.

Su Linux Chrome utilizza kwallet / gnome-keyring sul desktop KDE o gnome, che dovrebbero entrambi fornire una buona sicurezza. Su OSX utilizza il portachiavi OSX, che ha anche una buona sicurezza. Su Windows implementano la propria archiviazione di password, che non è sicura come i portachiavi del sistema sull'altro sistema operativo.

Per i punti deboli specifici dell'implementazione di Windows, vedi le altre risposte.