Domanda:
Quanto è sicuro Chrome che memorizza una password?
Tony Ruth
2017-10-01 22:23:43 UTC
view on stackexchange narkive permalink

Ogni volta che inserisco un accesso in un nuovo sito, Chrome mi chiede se memorizzare i dettagli di accesso. Credevo che fosse abbastanza sicuro. Se qualcuno ha trovato il mio computer sbloccato, potrebbe superare la schermata di accesso di alcuni siti Web utilizzando i dettagli memorizzati, ma se gli viene richiesta nuovamente la password come durante il checkout o se volessero accedere al servizio da un altro dispositivo, sarebbero fuori di fortuna.

Almeno, questo è quello che pensavo quando credevo che il browser non memorizzasse la password stessa, ma un hash o la crittografia della password. Ho notato che il browser riempie i campi del nome utente e della password e il campo della password indica il numero di caratteri nella password.

Sono una di quelle persone che quando viene chiesto di cambiare la propria password mantiene la stessa password, ma cambia un numero alla fine. So che non va bene, ma con la frequenza con cui mi viene chiesto di cambiare le password, non riuscivo davvero a ricordare il numero di password che ci si aspettava da me. Ciò si traduce in molte password uguali, ma a volte dimentico quale deve essere il numero finale per un particolare accesso.

Non riuscivo a ricordare il numero finale di un determinato accesso, quindi sono andato su un sito Web in cui era memorizzata la password. Ho cancellato l'ultima coppia di caratteri e ho provato diversi numeri e viola, sapevo qual era il numero finale corretto.

Mi sembra che questo sia un difetto di sicurezza fondamentale. Se riesco a controllare l'ultimo carattere della mia password senza controllarne altri, la quantità di tentativi necessari per decifrare la password cresce in modo lineare con il numero di caratteri non esponenziale. Sembra un passo da lì per dire che se qualcuno accede al mio computer quando è sbloccato, un semplice script potrebbe estrarre tutte le password memorizzate per tutti i principali siti Web per i quali ho le password memorizzate.

Non è questo il caso? C'è qualche altro livello di sicurezza che lo impedirebbe?

Penso che trarresti grandi vantaggi dall'utilizzo di un gestore di password come LastPass.
La risposta a questa domanda dipenderà molto dal browser di cui parli quando dici "un browser".In questo caso è Chrome, ma in teoria non c'è motivo per cui un browser diverso non possa gestire le password in modo molto più sicuro.O forse un futuro aggiornamento di Chrome potrebbe includere funzionalità che migliorerebbero notevolmente la sicurezza di questa funzione.Solo qualcosa da tenere a mente quando si leggono le seguenti risposte.
@Awn: I componenti aggiuntivi del browser non sono una minaccia per la sicurezza ancora peggiore?Chrome offre all'autore del componente aggiuntivo un potere illimitato di "aggiornarlo".Ciò gli consente di caricare codice dannoso per rubare i dati dell'account e della password degli utenti, quindi caricare di nuovo il codice innocuo e nessuno lo saprebbe.
Per coloro che si chiedono come _Firefox_ memorizzi le password, ho una risposta che la descrive in dettaglio qui: https://security.stackexchange.com/a/120666/91904
Chrome deve memorizzare la password completa (non con hash) in modo da poter inviare la password al sito web.Non c'è modo di aggirarlo.
Best practice, quando ti alzi dal tuo computer bloccalo (per il sistema operativo Windows la sequenza di tasti "Windows Key + L" lo blocca immediatamente), in fin dei conti è come se avessi le password scritte ma lasciate la parte anterioreporta di casa aperta e sbloccata, hai problemi più grandi (e probabilmente hai perso tutti i tuoi oggetti costosi :)).
AilickxtfbCMT - https://www.engadget.com/2017/03/22/critical-exploits-found-in-lastpass-on-chrome-firefox/
@Awn Sì, non tornerò su LastPass perché le vulnerabilità continuano a comparire, tuttavia, ** certamente ** non tornerò a [trucchi stupidi] (https://lifehacker.com/5937303/your-clever-password-trucchi-non-ti-proteggono-dagli-hacker-odierni) come quello menzionato dall'OP.A proposito, OP, è ** necessario ** per macchina- (o dadi-) generare le tue password, raccoglierle manualmente è il peggior nemico della sicurezza.
@NH."Le vulnerabilità continuano a comparire."Oh bambino."Non tornare mai a X, perché le vulnerabilità continuano a comparire.", Dove X = Android, iOS, Chrome, Linux, Apache, *
Il gestore delle password di Chrome non è definitivamente sicuro.Ieri ottengo un'infezione da malware (per errore) e tutta la mia password salvata in Chrome è stata scaricata nella directory del malware in appdata come file txt.
Benvenuto, @midlan: sembra che dovrebbe essere un commento piuttosto che una risposta.Allo stato attuale, la tua risposta non fornisce alcun contesto o prova, a parte la tua esperienza personale.Pubblica questo come un commento (quando ottieni abbastanza reputazione per farlo) o espandi la tua risposta per includere * come * la memorizzazione della password può essere compromessa (sì, può, ma esattamente come? In quali circostanze?), Per favore.
Il malware potrebbe scaricare qualsiasi archivio di password se è stato sbloccato in quel momento e l'archiviazione delle password di Chrome si sblocca quando effettui l'accesso.Ciò non lo rende insicuro, significa semplicemente che il malware non è una minaccia da cui è stato progettato per proteggere (insieme a ogni altro vault password, se sblocchi le tue password mentre hai malware in esecuzione non c'è davvero molto da fare).
Nove risposte:
#1
+143
Meir Maor
2017-10-02 00:10:12 UTC
view on stackexchange narkive permalink

Chrome non solo memorizza il testo della password, ma te lo mostrerà. In impostazioni -> avanzate -> gestisci password puoi trovare tutte le tue password per tutti i tuoi siti. Fai clic su mostra su uno di essi e apparirà in chiaro.

Le password con hash funzionano per il sito che ti autentica. Non sono un'opzione per i gestori di password. Molti crittograferanno i dati localmente, ma la chiave verrà anche memorizzata localmente a meno che tu non abbia una configurazione della password principale.

Personalmente, utilizzo il gestore delle password di Chrome e lo trovo conveniente. Tuttavia, ho anche la crittografia completa del disco e blocco diligentemente lo schermo. Il che rende il rischio ragionevole imho.

Sembri essere incoerente (molti lo sono) sia selezionando password memorabili che utilizzando un gestore di password. E posso azzardare a indovinare che potresti persino ripetere la password o almeno il tema su molti siti. Questo ti dà il peggio di entrambi i mondi. Ottieni i rischi di un gestore di password senza i vantaggi.

Con un gestore di password di cui ti fidi, puoi dare a ogni sito una password casuale univoca non memorabile affatto e ottenere molta protezione da molti vettori di attacco molto reali . In cambio di un unico punto di errore del tuo gestore di password. Anche con un gestore di password tutt'altro che perfetto, questo non è un compromesso irragionevole. Con un buon gestore di password questa sta diventando la best practice comune.

Modifica per aggiungere: leggi la risposta di Henno Brandsma che spiega come la password di accesso e il supporto del sistema operativo possono essere utilizzati per crittografare le password, questo fornisce un livello ragionevole di protezione alle tue password quando il computer è spento / bloccato (la crittografia completa del disco è migliore) e non aiuta molto se lasci il computer sbloccato. Anche se il browser richiede una password per mostrare gli strumenti di debug in testo normale, ti consentirà comunque di vedere le password già compilate come commenti @Darren_H. La raccomandazione precedente è ancora valida per utilizzare password univoche casuali e un gestore di password.

Nell'ultima versione di Chrome (68), il menu non si trova nella sezione Avanzate, ma nella prima sezione (impostazioni -> Persone -> password) - oppure digita semplicemente "chrome: // impostazioni / password" nella barra degli indirizzi del browser
#2
+85
Henno Brandsma
2017-10-02 03:12:17 UTC
view on stackexchange narkive permalink

Chrome (in Windows) effettivamente crittografa le password quando vengono memorizzate. Ma lo fa in un modo che solo qualcuno che conosce la tua password di accesso (o che dirotta la tua sessione di accesso) può effettivamente utilizzare o visualizzare le password memorizzate. Questo è ben documentato (utilizza la cosiddetta Data Protection API (DPAPI), che è in Windows da NT 5.0 (cioè Windows 2000) in poi, che oggigiorno utilizza AES-256 per crittografare i dati della password). Google ritiene che questa sia una sicurezza sufficiente, perché ha lo stesso livello di protezione dell'intero accesso. Su Mac o Linux utilizzano la tecnologia portachiavi nativa per proteggere una speciale password principale di Chrome, ottenendo essenzialmente lo stesso effetto. Leggi i sorgenti per tutti i dettagli ...

Anche Edge e IE (disponibili solo su Windows ovviamente) utilizzano questa tecnologia, BTW, sotto un wrapper chiamato Credential Store, nelle versioni recenti di Windows (e prima di allora hanno utilizzato i dati DPAPI memorizzati nel registro). Per maggiori informazioni su DPAPI, vedi qui, ad esempio

Vedi https://github.com/byt3bl33d3r/chrome-decrypter per un esempio su come le persone estraggono i dati delle password memorizzate, conoscendo le tue credenziali di accesso.

Recentemente su Windows il sistema è passato a un sistema più simile a quello di MacOS: è memorizzata una masterkey a 256 bit (in un file separato chiamato Local State nella directory dell'app, codificato in base64 e rappresentato in JSON) di nuovo come segreto DPAPI e ogni elemento della password è quindi una voce con codifica esadecimale, crittografata AES-GCM nel database sqlite nella stessa directory (tutto sotto quella chiave master , ma ciascuno con il proprio nonce da 12 byte e un tag da 16 byte per proteggere l'integrità). Quindi ancora alla fine dipende dalle credenziali della password dell'utente. Una volta che la password dell'utente (o meglio il suo hash SHA1) è nota, tutte le voci sono decrittografabili. Come detto, questo è di progettazione. Anche Microsoft Edge (edizione Chromium) utilizza questo sistema ora, come affermato in questo post del blog.

Sui tipici sistemi desktop Linux, Chrome utilizzerà il portachiavi di sessione (ad esempio GNOME Keyring o KWallet che coprono la stragrande maggioranza delle installazioni desktop Linux) che crittografa le password con una chiave derivata dalla password dell'account utente per l'archiviazione.
@DavidFoerster infatti, mette una "password" casuale di Chrome lì che deriva la chiave utilizzata nel database delle password.Il portachiavi / portafoglio ha lo stesso livello di protezione del login, proprio come fa Windows.
Sebbene non sia stata selezionata come risposta, questa risposta non dovrebbe essere trascurata e presa seriamente in considerazione da chi cerca di valutare il rischio dell'utilizzo dell'archivio delle password di Chrome e su come minimizzarlo.
Nota su Linux, il luogo in cui Chrome memorizza le password (quale portachiavi da utilizzare o al di fuori del portachiavi, non crittografato nella cartella dei dati di Chrome) può essere modificato utilizzando [--password-store setting] (https://peter.sh/experiments/ chromium-command-line-switch / # password-store).
@Uniphonic LastPass può vederli perché è in esecuzione come te e le chiavi di crittografia sono disponibili per te, poiché Chrome non ha "sale" che utilizza univoco per se stesso, cosa che potrebbe fare.Ma essere open source significa che chiunque può andare a vedere anche quel "sale di cromo", in modo da vanificare lo scopo.Il secondo problema deriva da Chrome che sincronizza le password tra i computer quando accedi con il tuo account Google.È un'impostazione che puoi disabilitare se non vuoi che accada.Anche il malware che viene eseguito a livello di utente può effettivamente vederlo, se ne è a conoscenza.
@HennoBrandsma OK, grazie!Immagino che questo spieghi anche perché Chrome è vulnerabile al dumping delle password, come indicato in un'altra risposta https://security.stackexchange.com/a/170535/165747
Sai tutto quello che devi fare è copiare la cartella dei dati utente di Chrome su un altro utente.Quindi, utilizzando la password del nuovo account utente, sblocca la password dall'interno di Chrome ... Chrome la decrittografa anche se non è lo stesso account Windows, a condizione che la password sia corretta.
@NotoriousPyro No, non funzionerà, l'altro account dovrebbe avere gli stessi file S-ID e masterkey, che non avrà.Non è * solo * la password di accesso dell'utente, ma è necessario clonare molto di più ed è vietato avere lo stesso S-ID tra utenti dello stesso dominio ecc.L'uso degli strumenti di decrittografia DPAPI offline è molto più semplice di quello che stai proponendo.
No, ti sbagli.L'ho fatto molte volte e ho copiato i dati di un utente da molti sistemi diversi e ho dovuto inserire la password degli utenti attuali ... Dovresti provarlo
@HennoBrandsma Lo scopo di salt è prevenire il cracking della tabella arcobaleno precalcolato, quindi il sale è generalmente pubblico, ma dovrebbe essere cambiato per password.
@HennoBrandsma Purtroppo, ho controllato e Chrome non esegue il passaggio fondamentale di salvare un salt diverso per password, quindi il sale ha poco valore, ma penso che l'archiviazione della password di Chrome sia altrimenti ragionevolmente sicura.
@NetMage In Linux crittografano tutte le password con la stessa password principale (conservata in un sistema simile a una catena di chiavi);nessun sale lì, mentre i BLOB DPAPI di Windows hanno diversi sali "incorporati" per costruzione.Il sistema Windows è abbastanza OK, davvero.La password principale di Linux viene generata per essere entropia a 128 bit, quindi non forzabile.Indica quali account hanno la * stessa password *, il sistema Windows non lo mostra.
#3
+29
Elias
2017-10-02 03:00:07 UTC
view on stackexchange narkive permalink

Per favore, per favore, smetti di riutilizzare le tue password!

In Firefox puoi effettivamente impostare una password principale che proteggerà le tue password memorizzate dalla visualizzazione. Questa password principale sarà richiesta anche una volta per sessione prima che il browser inizi a inserire le password per te.

Puoi anche utilizzare un gestore di password generico, ad esempio Keepass.

Comunque, per la maggior parte delle persone il pericolo di perdere una password perché un sito è stato violato è maggiore che perderla sul proprio computer. Questo perché un utente malintenzionato con accesso al tuo computer ha molte altre opzioni per attaccarti. Uno dei principali vantaggi dell'utilizzo di un gestore di password è che non è più necessario inserire manualmente la password in modo da poter effettivamente scegliere password completamente casuali e sicure.

Se si stanno riutilizzando le password da un po 'di tempo c'è un bel sito per controllare alcune delle violazioni più importanti per vedere se sei stato colpito: https://haveibeenpwned.com/

Se devi usare molti diversi macchine che puoi considerare di utilizzare qualcosa come Keepass2Android sul tuo telefono.

@jiggunjer - quindi se qualcuno ha accesso alla password A, avrà accesso alla tua banca, a Google, all'hosting, alla criptovaluta e al sistema operativo.Disastro. Almeno ognuno di questi dovrebbe avere un'autenticazione a due fattori O una password univoca.Preferibilmente entrambi.
@Katinka-Hesselink non è la mia banca o Google e il mio sistema operativo / portafoglio richiede l'accesso fisico.Questo è due fattori.Sì, possono ottenere sia il mio hosting che la mia VPN, se sanno quali servizi utilizzo e quali e-mail sono collegate a loro.Improbabile.
@jiggunjer Ho imparato ora che ciò che è improbabile per l'utente è solo un incentivo per l'hacker.Agli hacker piacciono le sfide e se ne vedono una, ci provano.
#4
+7
Teun
2017-10-02 20:04:21 UTC
view on stackexchange narkive permalink

Puoi anche visualizzare le password in Chrome modificando l'HTML. Cambia il tipo di campo di input in "testo" e potrai visualizzare le informazioni precompilate in testo normale. Quindi, se qualcuno al tuo computer conosce un sito web su cui sei registrato e Chrome inserisce automaticamente la tua password, può vederlo.

#5
+6
Daniel Grover
2017-10-03 00:21:44 UTC
view on stackexchange narkive permalink

Chrome è vulnerabile al dumping delle password. Ci sono molti strumenti là fuori che scaricheranno le password di Chrome. LaZagne è uno di loro. Non hai nemmeno bisogno di privilegi o credenziali di amministratore o altro.

Apparentemente, questo è semplice come connettersi al database SQLite e quindi chiamare Win32CryptUnprotectData per decrittografare la password.

https://github.com/AlessandroZ/LaZagne

Un utente malintenzionato può semplicemente eseguire questo dumper di password o installare malware e quindi eseguire questo strumento in remoto . Tuttavia, un utente non tecnico non sarebbe in grado di eseguire questa operazione. Pertanto, la memorizzazione delle password nel browser è sicura contro persone non tecniche, ma inefficace contro malware o utenti tecnici.

Se Chrome utilizza la crittografia AES-256, come fa LaZagne a decifrare il database?
Guardando la fonte (https://github.com/AlessandroZ/LaZagne/blob/master/Windows/lazagne/softwares/browsers/chrome.py#L82), sembra che poiché funziona come te, ha accesso al tuodati protetti.Questo non è realmente un attacco che potrebbe essere utilizzato per accedere ai dati di altri utenti.
La domanda riguarda qualcuno che accede al suo computer quando è incustodito.Inoltre, con i privilegi di amministratore ottenuti dal bypass dell'UAC o da altre vulnerabilità come il dirottamento della dll, è possibile accedere a tutti i dati dell'utente.
@jiggunjer Vedi la mia risposta sopra, utilizza DPAPI la cui sicurezza dipende in ultima analisi dalla forza della tua password di accesso (se l'attaccante non può scaricare la memoria del processo, dove risiedono anche le chiavi).Se lo esegui da solo, Windows esegue la decrittografia con CryptUnprotectData perché hai accesso alle tue chiavi.
#6
+3
Christophe Roussy
2017-10-02 17:08:25 UTC
view on stackexchange narkive permalink

Il pericolo più grande è avere un browser senza una password principale e lasciare il computer senza bloccarlo: chiunque può quindi scattare rapidamente una foto delle password memorizzate, bastano pochi secondi, quindi ovvio: blocca sempre il computer e imposta una password principale, non riutilizzare password o modelli simili ...

Per fare in modo che Chrome visualizzi una password in testo normale, devi inserire la tua password di accesso.E ne farà solo uno alla volta.Per quanto ne so, non c'è modo di far sì che visualizzi tutte le tue password.
Quindi è più sicuro dell'impostazione predefinita di Firefox.
Sembra che un'estensione di disconnessione automatica basata sul tempo potrebbe essere una buona idea.Per esempio.logout chrome dopo 15 minuti di inattività.
#7
+1
allo
2017-10-05 19:39:38 UTC
view on stackexchange narkive permalink

Dipende dalla tua piattaforma.

Su Linux Chrome utilizza kwallet / gnome-keyring sul desktop KDE o gnome, che dovrebbero entrambi fornire una buona sicurezza. Su OSX utilizza il portachiavi OSX, che ha anche una buona sicurezza. Su Windows implementano la propria memorizzazione delle password, che non è sicura come i portachiavi di sistema sull'altro OS.

l'implementazione di Windows vede le altre risposte.

#8
  0
Tgr
2017-10-02 12:36:30 UTC
view on stackexchange narkive permalink

Se sei preoccupato che qualcuno acceda al tuo laptop mentre sei loggato (ad es. lo stai usando al lavoro o in un luogo pubblico e occasionalmente lo lasci incustodito, o non ti fidi di un membro della famiglia), memorizza la password in un browser non è una buona soluzione. Se sei preoccupato per il malware sul tuo computer (che potrebbe catturare la tua digitazione) o per le persone che vedono ciò che digiti, è abbastanza sicuro e queste sono preoccupazioni molto più comuni.

Questa risposta è invertita imo.È improbabile che gli utenti non esperti di tecnologia siano in grado di ottenere le password in chiaro, ma il malware può scaricarle facilmente senza l'interazione dell'utente.Vedi la mia risposta.Puoi eseguire lo strumento da solo se non mi credi.
Chrome con una password principale è IMO protetto dal furto di password come un gestore di password.(Vale a dire, non molto bene. Se qualcosa è in esecuzione sulla tua macchina e ha gli stessi diritti di accesso che hai, le tue possibilità di impedirgli di rubare le tue password sono abbastanza limitate.) Senza una password principale, né browser né gestori di passwordpuò fornire molta difesa.
#9
  0
John Denniston
2017-10-04 18:01:29 UTC
view on stackexchange narkive permalink

È abbastanza certo che nessun meccanismo è sicuro al 100%, ma alcuni meccanismi sono più sicuri di altri. Al livello più semplice una password lunga è più sicura di una password breve ma è più difficile da ricordare e da digitare correttamente. Quello che devi decidere è dove si trova l'equilibrio tra sicurezza e facilità d'uso. I gestori di password sono una risposta se il rapporto costo / rischio sembra giusto per te.

Se non ti fidi di alcun meccanismo che memorizza la tua password sul tuo computer, un modo per aggirare questo problema è utilizzare un algoritmo per generarne uno ogni volta che ne hai bisogno. Mi capita di utilizzare un programmino che implementa una variante di Playfair ( https://en.wikipedia.org/wiki/Playfair_cipher) per generare parte della mia password per un dato sito - il che ha il vantaggio che posso crearlo a mano se necessario. Tuttavia evita algoritmi banali (come semplicemente invertire le lettere in un sito web).

Molte aziende richiedono di cambiare periodicamente la password. Questo era standard, ma ora GCHQ sconsiglia la pratica (vedere https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry), per motivo di cui parli. Si spera che questo requisito diventi meno comune nel tempo.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...