至少,当我认为浏览器不存储密码本身而是密码的哈希或加密时,这就是我曾经想过的。我注意到浏览器填写了用户名和密码字段,密码字段指示密码中的字符数。
我是被要求更改密码的人之一,只是保留了相同的密码,但最后更改了一个数字。我知道这很不好,但是由于要求我更改密码的频率,我真的不记得要输入的密码数量。这样会产生许多相同的密码,但是有时我忘记了特定登录名的结束号。
我不记得某个登录名的结束号码,所以我去了一个存储密码的网站。我删除了最后几个字符,并尝试了不同的数字和中提琴,知道什么是正确的结束数字。
在我看来,这是一个基本的安全漏洞。如果我可以检查密码的最后一个字符而不检查其他字符,那么破解密码所需的尝试次数将线性增长,而字符数却不是指数级增长。从那里似乎可以说是一个小步,如果有人在解锁计算机时来找我,一个简单的脚本就可以为我存储了密码的所有主要网站提取所有存储的密码。
不是这样吗?还有其他一些安全层可以阻止这种情况吗?
#1 楼
Chrome不仅会存储您的密码文本,还会向您显示。在设置->高级->管理密码下,您可以找到所有站点的所有密码。单击任何一个上的显示,它将以明文形式显示。哈希密码可用于使您进行身份验证的网站。它们不是密码管理器的选项。许多人会在本地对数据进行加密,但是除非您设置了主密码,否则密钥也将存储在本地。
我个人使用chrome密码管理器,觉得很方便。但是,我也具有完整的磁盘加密功能,并努力锁定屏幕。选择合理的密码并使用密码管理器,您似乎前后矛盾(很多)。我可能会冒险猜测您甚至可能在许多站点上都重复密码或至少是主题。这使您两全其美。您将面临密码管理器带来的风险,却没有收益。
有了您信任的密码管理器,您可以为每个站点分配一个唯一难忘的独特随机密码,并获得许多非常真实的攻击的保护向量。换来您的密码管理器的单点故障。即使密码管理器不够完善,这也不是不合理的选择。有了一个好的密码管理器,这已成为共识的最佳实践。
编辑添加:请阅读Henno Brandsma的答案,以解释如何使用登录密码和操作系统支持来加密密码,这给出了合理的水平。在计算机关闭/锁定时保护密码(更好的是全盘加密),如果您将计算机保持解锁状态,则无济于事。即使浏览器需要密码才能显示纯文本调试工具,仍然会让您看到已填充的密码作为@Darren_H注释。先前的建议仍然是使用随机唯一密码和密码管理器。
评论
在最新的Chrome版本(68)中,菜单不在“高级”部分中,而是在第一部分中(设置->人物->密码)-或仅在浏览器地址栏中输入“ chrome:// settings / passwords”
–桑德拉·罗西(Sandra Rossi)
18-10-27在8:18
#2 楼
Chrome(在Windows下)在存储时实际上会加密密码。但是这样做的方式是,只有知道您的登录密码(或劫持您的登录会话)的人才能实际使用或查看存储的密码。这是有据可查的(它使用了所谓的数据保护API(DPAPI),它在Windows NT 5.0(即Windows 2000)以后开始使用,如今已使用AES-256加密密码数据)。 Google认为这已经足够了,因为它具有与整个登录相同的保护级别。在Mac或Linux上,他们使用本机钥匙串技术来保护特殊的Chrome主密码,从而基本上达到相同的效果。阅读所有细节的资源...Edge和IE(当然仅在Windows上可用)在最新版本的Windows中(以及在此之前,它们)在名为Credential Store的包装器下也使用了BTW技术。存储在注册表中的已用DPAPI数据)。有关DPAPI的更多信息,请参见此处,例如,
请参见https://github.com/byt3bl33d3r/chrome-decrypter,以获取有关人们如何在知道您的登录凭据的情况下提取存储的密码数据的示例。
Windows将系统更改为更类似于MacOS的系统:将一个256位主密钥再次存储为DPAPI机密(在app目录中一个名为Local State的单独文件中,base64编码并以JSON表示),然后将每个密码项存储在同一目录的sqlite数据库中的一个十六进制编码的AES-GCM加密条目(全部在该主密钥下,但是每个都有自己的12字节随机数和一个16字节的标记以保护完整性)。因此,最终还是取决于用户密码凭据。一旦知道用户密码(或更确切地说,其SHA1哈希),所有条目都是可解密的。如前所述,这是设计使然。如本博文所述,甚至Microsoft的Edge(Chromium版)现在也使用此系统。
评论
在典型的Linux桌面系统上,Chrome将使用会话密钥环(即GNOME密钥环或KWallet,它们涵盖了大多数Linux桌面安装),该密钥使用从用户帐户密码派生的密钥对密码进行加密以进行存储。
–大卫·福斯特(David Foerster)
17-10-2在6:39
实际上,@ DavidFoerster会将Chrome随机的“密码”放在此处,以得出密码数据库中使用的密钥。就像Windows一样,钥匙串/钱包具有与登录相同的保护级别。
– Henno Brandsma
17-10-2在6:54
尽管未选择答案,但尝试评估使用Chrome密码存储库的风险以及如何最大程度地降低风险的人不应忽视并认真考虑该答案。
–托马斯·卡莱尔
17年10月2日在16:34
请注意,在Linux上,可以使用--password-store设置修改Chrome存储密码的位置(要使用的密匙环,或在密匙环之外未加密的Chrome数据文件夹)。
– Ben J
19年2月5日在18:09
@NetMage在Linux中,它们使用相同的主密码(保留在类似系统的钥匙链中)对所有密码进行加密。那里没有盐,而Windows DPAPI Blob具有通过构造“内置”的不同盐。 Windows系统确实可以。 Linux主密码生成为128位熵,因此不是强行强制的。它确实泄漏了具有相同密码的帐户,Windows系统未显示该密码。
– Henno Brandsma
19年11月7日在21:44
#3 楼
请,请,请不要再使用您的密码!在Firefox中,您实际上可以设置一个主密码,该密码可以保护您存储的密码不被查看。在浏览器开始为您填充密码之前,每个会话也需要一次此主密码。
您还可以使用通用密码管理器,例如Keepass。
无论如何,对于大多数人来说,因为一个站点被黑客入侵而丢失密码的危险大于在自己的计算机上丢失密码的危险。这是因为有权访问您计算机的攻击者还有许多其他选择可以攻击您。使用密码管理器的主要好处之一是,您不必再手动输入密码,因此您实际上可以选择完全随机且安全的密码。
如果您一直在重复使用密码,虽然有一个整洁的站点可以检查一些较重要的违规行为,以查看您是否受到了影响:https://haveibeenpwned.com/
如果必须使用许多不同的计算机,则可以考虑使用手机上的类似Keepass2Android之类的东西。
评论
@jiggunjer-因此,如果有人可以访问密码A,那么他们就可以访问您的银行,谷歌,托管,加密货币和操作系统。灾害。其中至少每个都应具有两个因素的身份验证或唯一的密码。最好两者兼而有之。
– Katinka Hesselink
17-10-6在11:27
@ Katinka-Hesselink不是我的银行或Google,并且我的操作系统/钱包需要物理访问。这是两个因素。是的,如果他们知道我所使用的服务以及与之链接的电子邮件,则可以同时获得我的托管和我的VPN。不太可能。
– Jiggunjer
17-10-6在13:30
@jiggunjer我现在了解到,用户不太可能只是黑客的诱因。黑客喜欢挑战,如果看到挑战,他们就会去挑战。
–读取缓冲区
17-10-7在15:50
#4 楼
您还可以通过更改HTML在Chrome中查看密码。将输入字段的类型更改为“文本”,您可以看到纯文本形式的预填充信息。因此,如果您计算机上的某人知道您所注册的网站,并且Chrome自动填充了密码,则他们可以看到它。
#5 楼
Chrome容易受到密码转储的攻击。有很多工具可以转储Chrome密码。 LaZagne是其中之一。您甚至不需要管理员权限或凭据或任何其他内容。显然,这很简单,只需连接到SQLite数据库,然后调用Win32CryptUnprotectData来解密密码。
https://github.com/AlessandroZ/LaZagne
恶意用户可以简单地运行此密码转储程序或安装恶意软件,然后远程运行此工具。但是,非技术用户将无法完成此任务。因此,将密码存储在浏览器中对非技术人员而言是安全的,但对恶意软件或技术用户而言则无效。
评论
如果Chrome使用AES-256加密,LaZagne如何破解数据库?
– Jiggunjer
17-10-4在5:01
查看源代码(github.com/AlessandroZ/LaZagne/blob/master/Windows/lazagne/…),似乎因为它像您一样运行,所以可以访问受保护的数据。这并不是一种可以用来访问其他用户数据的攻击。
–迈克·卡隆(Mike Caron)
17-10-4在14:36
问题是有人无人看管时正在访问他的计算机。此外,借助通过UAC绕过获得的管理员权限或其他漏洞(例如dll劫持),可以访问所有用户的数据。
–丹尼尔·格罗弗(Daniel Grover)
17-10-4在15:01
@jiggunjer请参阅上面的答案,它使用的DPAPI的安全性最终取决于您的登录密码强度(如果攻击者无法转储进程内存(密钥也位于该内存中))。如果您自己运行它,则Windows会使用CryptUnprotectData进行解密,因为您可以访问自己的密钥。
– Henno Brandsma
18年6月15日在7:24
#6 楼
最大的危险是使用没有主密码的浏览器,并且不锁定计算机就可以离开计算机:任何人都可以快速拍摄已存储密码的照片,只需几秒钟。显而易见:始终锁定计算机并设置主密码,请勿重复使用密码或类似模式...
评论
为了让Chrome以纯文本显示密码,您必须输入登录密码。而且一次只能做一个。据我所知,没有办法显示所有密码。
– Barmar
17-10-2在14:27
因此,这比Firefox默认设置更为安全。
–克里斯托弗·鲁西(Christophe Roussy)
17-10-2在15:29
听起来像是基于时间的自动注销扩展可能是个好主意。例如。闲置15分钟后注销chrome。
– Jiggunjer
17-10-4在5:13
#7 楼
这取决于您的平台。在Linux上,Chrome在KDE或gnome桌面上使用kwallet / gnome-keyring,这两个都应提供良好的安全性。在OSX上,它使用OSX密钥环,该密钥环也具有良好的安全性。
在Windows上,它们实现了自己的密码存储,该密码存储不如其他OS上的系统密钥环安全。
有关Windows实现中的特定弱点,请参见其他答案。
#8 楼
如果您担心登录时有人在使用您的笔记本电脑(例如,您在工作中或在公共场所使用笔记本电脑,有时不加保护,或者您不信任家人),请将密码存储在浏览器中不是一个好的解决方案。如果您担心计算机上的恶意软件(这可能会捕获您的键入)或人们看到您键入的内容,则可以很安全地防止这种情况的发生,而这些是更常见的问题。评论
这个答案与imo相反。非技术精明的用户不太可能获得纯文本密码,但是恶意软件可以轻松地将其丢弃,而无需用户交互。看我的答案。如果您不相信我,则可以自己运行该工具。
–丹尼尔·格罗弗(Daniel Grover)
17-10-2在19:41
具有主密码的Chrome是IMO,并且可以像密码管理器一样防止密码被盗。 (这就是说,不是很好。如果您的计算机上正在运行某些东西,并且具有与您相同的访问权限,则防止它窃取密码的机会就非常有限。)没有主密码,浏览器和密码管理器都不会可以提供很多防御。
– Tgr
17-10-2在23:15
#9 楼
可以肯定的是,没有一种机制是100%安全的,但是某些机制比其他机制更安全。在最简单的级别上,长密码比短密码更安全,但更难记住和正确键入。您必须决定的是安全性和易用性之间的平衡所在。如果您觉得成本/风险比合适,则密码管理器是一个答案。如果您不信任将密码存储在计算机上的任何机制,那么解决此问题的一种方法是使用每次需要时都会为您生成一个算法。我碰巧使用了一个实现Playfair变体的小程序(https://en.wikipedia.org/wiki/Playfair_cipher)为任何给定站点生成我的一部分密码-优点是我可以手动创建它如果需要的话。但是,请避免使用琐碎的算法(例如仅反转网站中的字母)。
许多公司要求您定期更改密码。这曾经是标准的,但是GCHQ现在建议您不要这样做(请参阅https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry),这正是您提到的原因。希望随着时间的流逝,这种要求会越来越少。
评论
我认为使用LastPass这样的密码管理器将使您受益匪浅。这个问题的答案将在很大程度上取决于您说“浏览器”时所使用的浏览器。在这种情况下,它是Chrome,但从理论上讲,没有理由没有其他浏览器无法以更安全的方式管理密码。也许将来的Chrome更新可能包含可以大大增强此功能安全性的功能。阅读以下答案时,请记住一些注意事项。
@Awn:浏览器加载项难道不是更严重的安全威胁吗? Chrome赋予了附加作者无限的权力来“更新”它。这样,他就可以上传恶意代码来窃取用户的帐户和密码数据,然后再次上传良性代码-没人知道。
最佳做法是,当您从计算机中起床时将其锁定(对于Windows操作系统,击键“ Windows Key + L”会立即将其锁定),就像一天结束时写下的密码一样,但将密码保留在前端房子的门打开和解锁,您遇到了更大的问题(并且可能丢失了所有昂贵的物品:))。
如果恶意软件当时被解锁,则恶意软件可能会丢弃任何密码存储,而您登录时Chrome的密码存储也会解锁。但这并不意味着不安全,这仅意味着恶意软件并不是它要防范的威胁(与其他所有密码库一样,如果您在运行恶意软件的同时解锁密码,那么实际上就无能为力了) 。