Chrome Smart-Lock quanto è debole?

Naviga le tue risposte
19

Sono molto sconcertato con lo Smart-Lock di Chrome. Sembra che qualsiasi applicazione installata sul mio Windows possa accedere a TUTTA la mia password in un attimo.

Ho installato True Key per testare l'applicazione. Speravo che l'applicazione fosse offline, ma non lo è. Solo per la cronaca ho provato a "importare tutti gli accessi da Chrome". Non ho dovuto passare attraverso UAC di Windows, e True Key ha appena ottenuto tutte le mie password.

Sono molto preoccupato per questo sistema e non capisco come sia possibile che le persone utilizzino questo tipo di sistema.

Che cosa frainteso riguardo alla sicurezza?

    
posta nowox 06.11.2017 - 12:05
fonte

2 risposte

20

Chrome offre la possibilità di compilare automaticamente le password senza di te in quanto utente che deve immettere qualsiasi tipo di autenticazione oltre a essere registrato sulla macchina. Ciò significa che deve disporre di tutte le informazioni necessarie per accedere alle password memorizzate durante l'esecuzione in quel contesto.

Ciò significa che qualsiasi altra applicazione in esecuzione in quel contesto (sotto il tuo account utente) può anche accedere a tali informazioni.

L'unica cosa che Chrome può fare è utilizzare la protezione del livello del sistema operativo per impedire ad altri utenti di leggere i tuoi dati. Sotto windows utilizza la funzione CryptProtectData . Questo crittografa i dati con le credenziali dell'utente di Windows - inclusa la tua password. Se si dimentica la password, i dati non sono leggibili, anche se l'amministratore lo ripristina (anche se con le password di Chrome viene eseguito il backup online e verrebbe ripristinato la volta successiva che si è effettuato l'accesso con le credenziali di google).

What do I misunderstand about security?

Qualsiasi software in esecuzione sul tuo sistema sotto il tuo utente o amministratore dovrebbe avere accesso a tutto ciò che fai. Se non è in grado di leggere la password dall'archivio password, ci sono molti altri modi per ottenerla. Dal maldestro (avvia Chrome, puntalo su chrome: // settings / passwords e leggilo dall'interfaccia utente) per estrarre le password o la chiave dell'API di Google dalla memoria chromes mentre è in esecuzione o inietta un certificato di root falso e man nel mezzo di una connessione al sito Web in cui è stata inviata la password.

    
risposta data 06.11.2017 - 12:38
fonte
2

Ci sono alcune cose che devi considerare:

  • Un gestore di password è uno strumento utile, non uno strumento di sicurezza. Se vuoi avere un gestore di password sicuro, dovrà mantenere tutto crittografato, cosa che in realtà non può essere dimostrata in questo caso.
  • Utilizzando un gestore di password sarà sempre più insicuro rispetto a non utilizzarne uno a meno che tu non controlli i suoi aspetti di sicurezza , cosa che non accade. Non sai dove sono archiviati i dati, in che formato e in quale processo è coinvolto l'accesso.
  • Smart-Lock non dimostra la sua sicurezza in qualsiasi momento.
  • La crittografia e i dettagli di implementazione dovrebbero almeno essere documentati da qualche parte, ma non lo sono, il che mi fa dubitare delle dichiarazioni ufficiali di Chrome come "Le tue password sono sempre criptate". Non dicono "dove" ciò accade realmente: quando li memorizzano, quando si sincronizzano, quando viene usata la cache, quando si verificano comunicazioni generali, ecc.
  • Una conclusione di DEFCON 2016 afferma: "I consumatori non sono in grado di valutare le richieste di sicurezza presentate dalle società. Abbiamo bisogno di più ricercatori che indaghino sulle richieste di sicurezza presentate dalle aziende per conto dei consumatori. "
  • Tutto viene memorizzato nella cache in un punto. Il tuo browser userà un sacco di trans-cache, qualsiasi applicazione specifica sopra la media sarà in grado di leggere da quella.
risposta data 06.11.2017 - 12:40
fonte

Leggi altre domande sui tag

Come implementare l'autenticazione senza password in un sito web Come gestire i problemi di sicurezza del sito Web di qualcun altro