Homepage » come » Quanto sono sicure le password del browser Chrome salvate?

    Quanto sono sicure le password del browser Chrome salvate?

    Una domanda comune sul browser Google Chrome è "perché non esiste una password principale?" Google ha (non ufficialmente) preso la posizione che una password principale fornisce un falso senso di sicurezza e la forma più valida di protezione per questi dati sensibili è attraverso la sicurezza generale del sistema.

    Quindi, esattamente quanto sono sicuri i dati salvati della password all'interno di Google Chrome?

    Visualizzazione delle password salvate

    Chrome, include il proprio gestore di password che è accessibile tramite Opzioni> Informazioni personali> Gestisci password salvate. Non è una novità e se consenti a Chrome di archiviare le tue password, probabilmente sei già a conoscenza di questa funzionalità.

    Un bel tocco di sicurezza minore è che devi prima fare clic sul pulsante mostra accanto a ciascuna password che desideri visualizzare.

    Sebbene non ci siano limitazioni per accedere a questa schermata (ad esempio se hai accesso al desktop in cui è installato Chrome, puoi accedere alle password), è necessario almeno l'intervento dell'utente per visualizzare ogni password senza alcun modo per esportarle in blocco in un file di testo normale.

    Dove sono archiviati i dati della password?

    I dati della password salvati sono memorizzati in un database SQLite che si trova qui:

    % UserProfile% \ AppData \ Local \ Google \ Chrome \ Dati utente \ Default \ Dati di accesso

    È possibile aprire questo file (il nome del file è solo "Dati di accesso") utilizzando SQLite Database Browser e visualizzare la tabella "accessi" che contiene le password salvate. Noterai che il campo "password_value" è illeggibile perché il valore è crittografato.

    Quanto è sicuro i dati crittografati?

    Per eseguire la crittografia (su Windows), Chrome utilizza una funzione API fornita da Windows che rende i dati crittografati solo decifrabili dall'account utente di Windows utilizzato per crittografare la password. Quindi, in sostanza, la tua password principale è la password dell'account Windows. Di conseguenza, una volta effettuato l'accesso a Windows tramite il tuo account, questi dati sono decifrabili da Chrome.

    Tuttavia, poiché la password dell'account Windows è una costante, l'accesso alla "password principale" non è esclusivo di Chrome in quanto le utilità esterne possono accedere a questi dati e decrittografarli. Utilizzando l'utilità gratuita ChromePass di NirSoft, puoi vedere tutti i tuoi dati di password salvati e esportarli facilmente in un file di testo normale.

    Quindi ha senso che se l'utilità ChromePass può accedere a questi dati, il malware in esecuzione come il rispettivo utente potrebbe accedervi. Quando ChromePass.exe viene caricato su VirusTotal, poco più della metà dei motori antivirus lo segnala come pericoloso. Mentre in questo caso l'utilità è sicura, è un po 'rassicurante vedere che questo comportamento è per lo meno segnalato da molti pacchetti AV (sebbene Microsoft Security Essentials non sia uno dei motori AV che lo ha segnalato come pericoloso).

    La protezione può essere elusa?

    Supponiamo che il tuo computer venga rubato e che il ladro reimposti la password di Windows per accedere in modo nativo all'installazione. Se in seguito dovessero provare a visualizzare le password in Chrome o utilizzare l'utilità ChromePass, i dati della password non sarebbero disponibili. Il motivo è semplice in quanto la "password principale" (che era la password dell'account Windows prima di resettarla forzatamente al di fuori di Windows) non corrisponde quindi la decrittografia fallisce.

    Inoltre, se qualcuno dovesse semplicemente copiare il file di database SQLite di password di Chrome e provare ad accedervi su un altro computer, ChromePass visualizzerà password vuote per lo stesso motivo spiegato sopra.

    Conclusione

    Alla fine della giornata, la sicurezza delle password salvate da Chrome dipende totalmente dall'utente:

    • Utilizzare una password dell'account Windows molto potente. Tieni presente che esistono programmi di utilità che possono decifrare le password di Windows. Se qualcuno ottiene la password dell'account Windows, ha accesso alle password del browser salvate.
    • Proteggiti dal malware. Se le utility sono in grado di accedere facilmente alle password salvate, perché il malware non può essere rimosso?
    • Salva le tue password in un sistema di gestione delle password come KeePass. Ovviamente, perdi la comodità di avere il browser che riempie automaticamente le tue password.
    • Utilizza un'utility di terze parti che si integra con Chrome e utilizza una password principale per gestire le tue password.
    • Cripta l'intero disco rigido utilizzando TrueCrypt. Questo è completamente opzionale e per l'ultra protettivo, ma se qualcuno non può decifrare il tuo disco, sicuramente non ne può ricavare nulla.

    La linea di fondo è semplicemente per mantenere il sistema sicuro e le password di Chrome dovrebbero essere ragionevolmente sicure.

    Scarica ChromePass da NirSoft

    Scarica SQLite Browser da Sourceforge