Hoe veilig zijn uw opgeslagen Chrome-browserwachtwoorden?
Een veelgestelde vraag over de Google Chrome-browser is "waarom is er geen hoofdwachtwoord?" Google heeft (onofficieel) de positie ingenomen dat een hoofdwachtwoord een vals gevoel van veiligheid biedt en de meest haalbare vorm van bescherming voor deze gevoelige gegevens is door middel van algemene systeembeveiliging.
Dus hoe veilig zijn uw opgeslagen wachtwoordgegevens in Google Chrome?
Opgeslagen wachtwoorden bekijken
Chrome, bevat een eigen wachtwoordbeheerder die toegankelijk is via Opties> Persoonlijke items> Opgeslagen wachtwoorden beheren. Dit is niets nieuws en als u Chrome toestaat uw wachtwoorden op te slaan, bent u waarschijnlijk al op de hoogte van deze functie.
Een klein beetje kleine veiligheid is dat u eerst op de knop Show moet klikken naast elk wachtwoord dat u wilt bekijken.
Hoewel er geen beperking is om dit scherm te openen (maw als u toegang hebt tot de desktop waarop Chrome is geïnstalleerd, kunt u toegang krijgen tot de wachtwoorden), is er ten minste tussenkomst van de gebruiker nodig om elk wachtwoord te bekijken zonder deze bulksgewijs te kunnen exporteren naar een gewoon tekstbestand.
Waar worden de wachtwoordgegevens opgeslagen??
De opgeslagen wachtwoordgegevens worden opgeslagen in een SQLite-database die zich hier bevindt:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data
U kunt dit bestand openen (de bestandsnaam is slechts "Aanmeldingsgegevens") met SQLite Database Browser en bekijk de "aanmeldings" -tabel die de opgeslagen wachtwoorden bevat. U zult merken dat het veld "password_value" onleesbaar is omdat de waarde is gecodeerd.
Hoe veilig zijn de versleutelde gegevens?
Voor het uitvoeren van de codering (in Windows), maakt Chrome gebruik van een door Windows geleverde API-functie die de gecodeerde gegevens alleen ontcijferbaar maakt door het Windows-gebruikersaccount dat wordt gebruikt om het wachtwoord te coderen. Uw hoofdwachtwoord is dus in feite uw Windows-accountwachtwoord. Als gevolg hiervan zijn deze gegevens, nadat u met uw account bent aangemeld bij Windows, te ontcijferen door Chrome.
Omdat het wachtwoord van uw Windows-account echter constant is, is toegang tot het 'hoofdwachtwoord' niet exclusief voor Chrome, omdat externe hulpprogramma's deze gegevens ook kunnen ophalen en ontsleutelen. Met behulp van het gratis beschikbare hulpprogramma ChromePass van NirSoft, kunt u al uw opgeslagen wachtwoordgegevens bekijken en deze eenvoudig exporteren naar een gewoon tekstbestand.
Het is dus logisch dat als het ChromePass-hulpprogramma toegang heeft tot deze gegevens, malware die wordt uitgevoerd als de betreffende gebruiker er ook toegang toe heeft. Wanneer ChromePass.exe is geüpload naar VirusTotal, markeert iets meer dan de helft van de antivirusengines het als gevaarlijk. Hoewel het hulpprogramma in dit geval veilig is, is het een beetje geruststellend om te zien dat dit gedrag op zijn minst wordt gemarkeerd door veel AV-pakketten (hoewel Microsoft Security Essentials niet een van de AV-engines is die het als gevaarlijk hebben gemeld).
Kan de bescherming worden omzeild?
Stel dat uw computer wordt gestolen en de dief uw Windows-wachtwoord opnieuw instelt om zich in te loggen bij uw installatie. Als ze vervolgens proberen de wachtwoorden in Chrome te bekijken of het hulpprogramma ChromePass gebruiken, zijn de wachtwoordgegevens niet beschikbaar. De reden is simpel, omdat het "hoofdwachtwoord" (het wachtwoord van uw Windows-account voordat ze het buiten Windows krachtig opnieuw instellen) niet overeenkomt, dus de ontsleuteling mislukt.
Als iemand bovendien gewoon het SQLite-databasebestand met Chrome-wachtwoord kopieert en probeert het op een andere computer te openen, geeft ChromePass lege wachtwoorden weer om dezelfde reden als hierboven wordt uitgelegd.
Conclusie
Aan het einde van de dag hangt de beveiliging van de door Chrome opgeslagen wachtwoorden volledig af van de gebruiker:
- Gebruik een zeer sterk Windows-accountwachtwoord. Houd er rekening mee dat er hulpprogramma's zijn die Windows-wachtwoorden kunnen ontcijferen. Als iemand uw Windows-accountwachtwoord krijgt, heeft deze toegang tot uw opgeslagen browserwachtwoorden.
- Bescherm uzelf tegen malware. Als hulpprogramma's gemakkelijk toegang hebben tot uw opgeslagen wachtwoorden, waarom kan malware dan niet?
- Sla uw wachtwoorden op in een wachtwoordbeheersysteem zoals KeePass. Natuurlijk verliest u het gemak van het automatisch invullen van uw wachtwoorden door de browser.
- Gebruik een hulpprogramma van derden dat wordt geïntegreerd met Chrome en een hoofdwachtwoord gebruikt om uw wachtwoorden te beheren.
- Versleutel uw gehele harde schijf met behulp van TrueCrypt. Dit is volledig optioneel en voor de ultra-beschermers, maar als iemand je schijf niet kan ontsleutelen, kunnen ze er zeker niets van krijgen.
Waar het om gaat is simpelweg om uw systeem te beveiligen en uw Chrome-wachtwoorden moeten ook redelijk veilig zijn.
Download ChromePass van NirSoft
Download SQLite Browser van Sourceforge