Sono rimasto scioccato da ciò che può essere ottenuto con WebBrowserPassView . In pratica mostra tutte le password salvate nel mio browser (Chrome).
Suppongo che altri utenti sul mio PC possano ottenere anche le mie password in modo facile. Come posso proteggere le mie password?
In realtà quello che dovresti chiedere è:
Should I be worried that I can use tools to look at passwords stored in my Chrome browser?
E la risposta è ... Kind of. Davvero il modo migliore per evitare che ciò accada è di mantenere i tuoi sistemi induriti. Se qualcuno accede a tali dati, hai già perso tutto . Questo perché a quel punto hanno ottenuto l'accesso al tuo sistema operativo / computer nel suo complesso e possono fare tutto ciò che vogliono. Hanno accesso al tuo browser, il che significa che possono dirottare facilmente le tue sessioni, e fare qualsiasi danno che vogliono tutti senza doverti disconnettere da quella sessione. Questo è vero per tutte le sessioni aperte che hai sul tuo browser in quel momento, indipendentemente dal gestore di password che usi.
Perché Chrome memorizza già le tue password nell'area utente crittografata del tuo disco.
Utilizzare realmente una password principale come crittografia rispetto alle aree già crittografate del tuo sistema operativo non è altro che un teatro di sicurezza. Se ottengono quel tipo di accesso alla tua macchina in cui possono comunque ottenere quel file, è un gioco sull'uomo. Hanno il pieno controllo dell'intero sistema.
Mantenendo il tuo computer sicuro e protetto. Non prestarti l'accesso a persone di cui non ti fidi, non lasciarlo sbloccato, non utilizzare una password debole e non lasciarlo sbloccato quando ti allontani. Ho già detto di non lasciarlo sbloccato se non lo stai usando?
I'm the Chrome browser security tech lead, so it might help if I explain our reasoning here. The only strong permission boundary for your password storage is the OS user account. So, Chrome uses whatever encrypted storage the system provides to keep your passwords safe for a locked account. Beyond that, however, we've found that boundaries within the OS user account just aren't reliable, and are mostly just theater.
Consider the case of someone malicious getting access to your account. Said bad guy can dump all your session cookies, grab your history, install malicious extension to intercept all your browsing activity, or install OS user account level monitoring software. My point is that once the bad guy got access to your account the game was lost, because there are just too many vectors for him to get what he wants.
We've also been repeatedly asked why we don't just support a master password or something similar, even if we don't believe it works. We've debated it over and over again, but the conclusion we always come to is that we don't want to provide users with a false sense of security, and encourage risky behavior. We want to be very clear that when you grant someone access to your OS user account, that they can get at everything. Because in effect, that's really what they get.
Se hai salvato le password nell'archivio delle password del browser, possono essere lette dall'archivio delle password del browser e non c'è modo di aggirarle . La ragione per cui gli strumenti di Nir funzionano è che i produttori di browser non hanno prestato la dovuta attenzione allo storage sicuro e non è possibile risolverli da soli.
L'alternativa è passare a un gestore di password reale che utilizza un'estensione del browser, come LastPass. (Ce ne sono altri che funzionano allo stesso modo, ma LastPass è l'unico che uso quindi è l'unico su cui posso scrivere in modo specifico.) LastPass memorizza le tue password crittografate con la tua password principale, quindi non puoi recuperarle utilizzando uno strumento di terze parti per leggere il file di database in cui sono memorizzati. È inoltre necessario impostare l'estensione del browser per richiedere nuovamente la password master in qualsiasi intervallo si adatti meglio all'uso del computer, in modo che qualcun altro non possa esplorare il proprio vault della password dal browser.
Sebbene i gestori di password di terze parti siano teoricamente vulnerabili ad alcuni degli stessi problemi del meccanismo di archiviazione integrato, il fatto che l'archiviazione delle password sia il loro obiettivo principale di solito significa che fanno un lavoro migliore.
Leggi altre domande sui tag windows passwords web-browser chrome