Mật khẩu trình duyệt Chrome đã lưu của bạn an toàn đến mức nào?
Một câu hỏi phổ biến về Trình duyệt Google Chrome là Tại sao không có mật khẩu chính? Google Google (không chính thức) nhận vị trí mật khẩu chính cung cấp cảm giác bảo mật sai và hình thức bảo vệ khả thi nhất cho dữ liệu nhạy cảm này là thông qua bảo mật hệ thống tổng thể.
Vì vậy, chính xác mức độ an toàn của dữ liệu mật khẩu đã lưu của bạn bên trong Google Chrome?
Xem mật khẩu đã lưu
Chrome, bao gồm trình quản lý mật khẩu riêng có thể truy cập thông qua Tùy chọn> Nội dung cá nhân> Quản lý mật khẩu đã lưu. Điều này không có gì mới và nếu bạn cho phép Chrome lưu trữ mật khẩu của mình, có lẽ bạn đã biết về tính năng này.
Một liên lạc tốt đẹp của bảo mật nhỏ là trước tiên bạn phải nhấp vào nút hiển thị bên cạnh mỗi mật khẩu bạn muốn xem.
Mặc dù không có giới hạn truy cập màn hình này (tức là nếu bạn có quyền truy cập vào máy tính để bàn nơi cài đặt Chrome, bạn có thể truy cập mật khẩu), ít nhất phải có sự can thiệp của người dùng để xem từng mật khẩu mà không có cách nào để xuất chúng hàng loạt đến một tệp văn bản đơn giản.
Dữ liệu mật khẩu được lưu trữ ở đâu?
Dữ liệu mật khẩu đã lưu được lưu trữ trong cơ sở dữ liệu SQLite ở đây:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Dữ liệu người dùng \ Mặc định \ Dữ liệu đăng nhập
Bạn có thể mở tệp này (tên tệp chỉ là dữ liệu Đăng nhập dữ liệu trực tuyến) bằng cách sử dụng Trình duyệt cơ sở dữ liệu SQLite và xem bảng đăng nhập của Nhật ký Bảng có chứa mật khẩu đã lưu. Bạn sẽ nhận thấy trường password password_value không thể đọc được vì giá trị được mã hóa.
Dữ liệu được mã hóa an toàn như thế nào?
Để thực hiện mã hóa (trên Windows), Chrome sử dụng chức năng API do Windows cung cấp, giúp dữ liệu được mã hóa chỉ có thể giải mã được bằng tài khoản người dùng Windows được sử dụng để mã hóa mật khẩu. Vì vậy, về cơ bản, mật khẩu chủ của bạn là mật khẩu tài khoản Windows của bạn. Do đó, khi bạn đã đăng nhập vào Windows bằng tài khoản của mình, dữ liệu này sẽ được Chrome giải mã.
Tuy nhiên, vì mật khẩu tài khoản Windows của bạn là một hằng số, nên quyền truy cập vào mật khẩu chính chủ của Cameron không dành riêng cho Chrome vì các tiện ích bên ngoài có thể nhận được dữ liệu này - và cũng giải mã nó -. Sử dụng tiện ích ChromePass miễn phí có sẵn của NirSoft, bạn có thể xem tất cả dữ liệu mật khẩu đã lưu và dễ dàng xuất thành tệp văn bản thuần túy.
Vì vậy, điều hợp lý là nếu tiện ích ChromePass có thể truy cập dữ liệu này, phần mềm độc hại đang chạy cũng như người dùng tương ứng cũng có thể truy cập nó. Khi ChromePass.exe được tải lên VirusTotal, chỉ hơn một nửa số công cụ chống vi-rút đánh dấu là nguy hiểm. Mặc dù trong trường hợp này, tiện ích này an toàn, nhưng có một chút yên tâm khi thấy rằng hành vi này ít nhất bị đánh dấu bởi nhiều gói AV (mặc dù Microsoft Security Essentials không phải là một trong những công cụ AV báo cáo là nguy hiểm).
Bảo vệ có thể được lưu hành?
Giả sử máy tính của bạn bị đánh cắp và tên trộm đặt lại mật khẩu Windows của bạn để đăng nhập vào cài đặt của bạn. Nếu sau đó họ cố gắng xem mật khẩu trong Chrome hoặc sử dụng tiện ích ChromePass, dữ liệu mật khẩu sẽ không khả dụng. Lý do rất đơn giản vì mật khẩu của chủ nhật ký mật mã (đó là mật khẩu tài khoản Windows của bạn trước khi họ đặt lại mạnh mẽ bên ngoài Windows) không khớp nên việc giải mã thất bại.
Ngoài ra, nếu ai đó chỉ cần sao chép tệp cơ sở dữ liệu SQLite mật khẩu Chrome và cố gắng truy cập nó trên một máy tính khác, ChromePass sẽ hiển thị mật khẩu trống với cùng lý do đã giải thích ở trên.
Phần kết luận
Vào cuối ngày, tính bảo mật của mật khẩu đã lưu Chrome phụ thuộc hoàn toàn vào người dùng:
- Sử dụng mật khẩu tài khoản Windows rất mạnh. Hãy nhớ rằng, có những tiện ích có thể giải mã mật khẩu Windows. Nếu ai đó lấy được mật khẩu tài khoản Windows của bạn thì họ có quyền truy cập vào mật khẩu trình duyệt đã lưu của bạn.
- Bảo vệ bạn khỏi phần mềm độc hại. Nếu các tiện ích có thể dễ dàng truy cập mật khẩu đã lưu của bạn, tại sao phần mềm độc hại không thể?
- Lưu mật khẩu của bạn trong một hệ thống quản lý mật khẩu, chẳng hạn như KeePass. Tất nhiên, bạn mất đi sự tiện lợi khi trình duyệt tự động điền mật khẩu của bạn.
- Sử dụng tiện ích của bên thứ 3 tích hợp với Chrome và sử dụng mật khẩu chính để quản lý mật khẩu của bạn.
- Mã hóa toàn bộ ổ cứng của bạn bằng TrueCrypt. Điều này là hoàn toàn tùy chọn và cực kỳ bảo vệ, nhưng nếu ai đó không thể giải mã ổ đĩa của bạn thì chắc chắn họ không thể lấy được gì từ nó.
Điểm mấu chốt đơn giản là giữ an toàn cho hệ thống của bạn và mật khẩu Chrome của bạn cũng phải được bảo mật một cách hợp lý.
Tải xuống ChromePass từ NirSoft
Tải xuống trình duyệt SQLite từ Sourceforge