我是Chrome浏览器安全技术负责人,所以如果我
在这里解释我们的理由可能会有所帮助。
密码存储的唯一强权限边界是OS用户帐户。因此,Chrome使用系统提供的任何
加密存储来确保锁定帐户的密码安全。但是,除此之外,我们还发现OS用户帐户内的边界
是不可靠的,并且大多只是
剧院。
考虑到有人恶意的情况获得访问您的帐户的权限。
所说的坏家伙可以转储您所有的会话Cookie,获取您的历史记录,
安装恶意扩展程序以拦截您的所有浏览活动,
或安装OS用户帐户级别的监控软件。我的意思是
一旦坏人访问了您的帐户,游戏就会丢失,因为
有太多的媒介让他无法得到自己想要的东西。
我们“我们也一再被问到为什么我们不仅仅支持主密码或类似的密码,即使我们认为它不起作用也是如此。
我们已经一遍又一遍地辩论了它,但是我们总是得出的结论是,我们不想为用户提供错误的安全感,并鼓励冒险行为。我们要非常清楚,
当您授予某人对您的OS用户帐户的访问权限时,他们可以
获得一切。因为实际上是他们得到的。
我一直在使用LastPass,但前提是它比使用Chrome的内置密码管理器更好,更安全。这里还有两个相关的附加事实:
LastPass可以选择保持在受信任计算机上的登录状态。假设我使用它。
Chrome浏览器可让您为Google的同步数据创建一个单独的密码(读为:存储的密码)。假设我也这样做了。
在所有这些条件相同的情况下,LastPass比Chrome安全吗?似乎一旦恶意软件进入我的系统,或者一个坏人可以访问,从理论上讲都没关系,我100%受到了损害。是真的吗?
从实际的角度来看,一个或另一个在现实生活中更有可能被黑客入侵吗?是否存在某些更常见或更成功的攻击媒介,它们中的一个会起作用?
PS:我不关心获得我的帐户访问权的朋友,家人或新手。我问的是聪明的恶意黑客。
#1 楼
注意自编写此答案以来,由于Chrome的改进,此答案可能已过时。
首先,Chrome会对您的密码和其他机密数据进行加密。但是,根据设置,这有很多不同的方面,还有一些您需要牢记的细节。
在计算机上,在操作系统中,
保存密码时在您计算机的本地上,Google会尝试使用任何可能存在的本地密码库。因此,例如,如果您使用的是OSX,则为系统的钥匙串。如果您使用的是Windows,则是Windows数据保护API(Microsoft具有特定的产品命名技能);如果您使用的是KDE,则是电子钱包;在GNOME中,它是Gnome密钥环。
每个这些产品有其自身的含义,值得注意。例如,如果您曾经在OSX设备上同步密码,则这些密码会进入已重新命名为iCloud钥匙串的钥匙串(如前所述),其含义确实像是这样:现在,苹果知道您的也会保存密码,并将其同步到您的iPhone,iPad和任何其他Apple设备。那可能正是您想要的。也许不是。请注意。
Windows令人兴奋的名称和数据保护API专业版不具备此类功能。您的密码在您的计算机上,并且在那里,直到进一步通知为止。称其为老式或安全。但是请记住,微软有追赶苹果的历史,并且可能也会决定在这里追赶。
在云端
除了任何无意间将iCloud同步为如上所述,Chrome还将在Chrome实例之间同步您的密码。这意味着将您的数据发送给Google。是的,它是加密的。
如何加密?随你(由你决定。您可以使用您的Google帐户(默认设置),也可以设置特殊的“同步密码”。尽管我对这两个选项的内部内容没有特殊的了解,但其含义似乎很简单。
如果您使用自己的Google帐户密码,那么密码将被解密,而无需您进一步干预。请注意,实际上需要输入实际密码。仅访问Google帐户是不够的。我看到过这样的情况,Chrome已成功通过外部授权成功登录并获取了同步数据,但是直到我输入原始的Gmail密码后才能对其解密。因此,使用单独的“同步密码”的好处是确保拥有您的Gmail密码(例如,谷歌可以)的任何人都不会拥有您的同步密码。
记住autocomplete = off Passwords
提到的geek.com文章提出了一个有趣的观点,但是从传统上讲,该观点是从...启蒙的角度出发。这是“隐私权倡导者”(特别是我用引号引起来的那种)的共同立场,但是安全隐患非常非常非常清楚,而且非常肯定地站在Google的立场上。 />
我已经写过这个了。去读另一个答案,然后再回来。我等。
继续。
好吧,回来吗?好的,这些是您刚想到的关键点:
autocomplete=off
是一项干预措施,旨在关闭一项非常危险的功能。该功能不是我们一直在谈论的密码保存。 我们一直在谈论的功能可以帮助用户。另一个尝试是错误的尝试,试图通过使用您在其他网站上键入的内容来填写表格来发挥作用。因此,请想象一个像Clippy这样的自动完成助手,但是社交技能却更差:“我看到您正在尝试登录Ebay;我将只填写来自Yahoo的登录信息,然后我们看看是否可行。”是的,我们对90年代的安全性有一些有趣的想法。您可以看到为什么将
autocomplete=off
甚至与远程安全相关的所有内容都迅速纳入站点审核的要点。相比之下,我们一直在谈论的自动完成功能是一个非常受严格控制的安全性-增强解决方案。而且,如果您将它用于任何用途,您是否想将其用于最安全的密码?为什么?网络钓鱼。
网络钓鱼实际上是您面临的最危险的在线攻击。这是超级有效且极具破坏性的。它并没有引起应有的关注,因为我们始终只是将手指指向为叙利亚电子军提供了密码的愚蠢用户。但是防御网络钓鱼确实非常困难,因此利用它真的非常容易。此外,成功的网络钓鱼攻击具有无限的破坏潜力,直至关闭整个血腥的公司灾难。
在防范网络钓鱼方面,您最大的武器就是浏览器集成的密码管理器。它知道应该在哪里使用密码,并且除非您实际在寻找正确的站点,否则它使您无法使用它们。它不受相似的域或“站点密封”图形的欺骗,它知道检查SSL证书,并且知道如何检查SSL证书。在您准备好使用密码并盯着正确的登录提示之前,它会锁定密码。
Chrome密码管理器是否应该忽略
autocomplete=off
消息?绝对是的。 你应该使用它吗?如果您使用的是LastPass,则可以坚持使用。但是,如果上述注意事项不打扰您,则应将其视为一种合理的选择。
如果您不使用任何密码管理器,请立即开始使用此密码管理器。通过任何合理的措施,它都是安全的,尤其是比不使用它要安全得多。
评论
您说过,LastPass不会存储我的密码,也不会隐式授予访问权限。但是,当我将其设置为记住我的计算机时,我可以启动并直接进入LastPass并查看密码,而无需输入我的LastPass密码。另外,我给人的印象是,如果您使用我链接到的Google同步密码,它将使用它加密您的数据,而他们不知道您的密码。对于我的密码实际上是被恶意人员/程序窃取的,我仍然不确定所有这些方法。
– brentonstrine
13年8月20日在5:57
@brentonstrine啊。我没有意识到您的意思是重新启动之间仍然存在的选项。是的,这样可以保存您的密码。 Google同步现在可以选择使用您的登录密码来加密同步数据。尽管他们拥有您的密码意味着他们可以解密您的数据,但是您可以说总比没有好。那么,您在保护自己免受谁侵害?
– tylerl
13年8月20日在6:36
老实说,如果NSA需要我的数据,他们可以直接从Gmail或Facebook或任何其他方式传唤它。我更担心媒体会标榜“黑客”。
– brentonstrine
13年8月20日在17:06
@brentonstrine和“黑客”不只是获取传输中的数据。我会对LinkedIn感到永远的愤怒,因为它无意间将我的电子邮件地址,公司名称和公司职位提供给了世界各地的垃圾邮件发送者。
– tylerl
13年8月20日在17:11
@Stephane现在从头开始重写答案。稍安毋躁!
– tylerl
14年4月17日在8:03
#2 楼
最终,贾斯汀的观点与您的观察相同,即即使LastPass密码也将100%受到计算机中存在的恶意软件的攻击。Elliot Kember帖子声称,如果您需要主密码才能查看其他密码,则可以提高整体安全性。而且他有道理。减少攻击面绝对有一个优势,他声称Google甚至没有尝试这样做。 Elliot声称Justin的“错误的安全感”忽略了人为因素,这就是说,您可能借给计算机的95%的人无法利用它。但是,如果您将机器借给不值钱的brother子,他可能会做一些愚蠢的事,使您暴露于病毒中-您的brother子不是故意利用您,而是他可能成为感染的媒介。
总而言之,贾斯汀的论点还利用了人类的行为。如果Chrome让其他人轻松地看到您的密码,那么您会愚蠢地允许他人在没有密切监督的情况下使用它。双方都有有效的观点。
Chrome的潜行问题是,除非您单击模糊的高级同步选项,否则您的同步密码必须与Google密码相同。因此,默认情况下,Google能够解密您的同步文件并访问您的密码。现在,您的攻击面已经扩大到包括完全信任Google来保护您的所有密码。 Google值得信赖吗?一个简单的答案是问为什么Google会窥探您的密码并冒着破坏人们对其的信任的风险。但是,当他们收到逮捕令和《国家安全信》后,是否将其移交给当局?这些问题的答案令人难以置信,但它们正在处理您的人身安全。
但是,您可以更进一步,并通过受信任的硬件来提高安全性。您可以关联您的LastPass帐户,以使用YubiKey进行双因素身份验证。这是一个USB钥匙,其作用类似于键盘,但是您将其保留在房屋钥匙旁边的钥匙圈上。它为Lastpass提供了一个看似随机的字符串,Lastpass随后可以使用一种算法来进行验证,从而授予您访问帐户的权限。即使在完全伪造的机器上,只要没有剪贴板访问权限,或者只要您使用的是Lastpass浏览器插件,恶意软件就可以拦截正在使用的密码,您的密码是安全的。
评论
如果发出传票,Google会将我的密码存储在可以解密我保存的密码的位置吗?从理论上讲,他们不能只存储我的密码的哈希哈希值,而不能解密我的密码列表吗?他们可以自由地将加密的密码列表共享给所有已登录的chrome浏览器,然后要求chrome浏览器将您的Google密码保留在RAM中,并与操作系统钥匙串保持一致。当我登录时,Google知道我的密码,但是他们的登录服务器在通过身份验证后可以立即忘记我的密码。他们的登录服务器和chrome密码服务器不需要通信。
– IceArdor
19年1月31日,11:11
#3 楼
您是在假设恶意行为者已在系统上启动了以“用户信任”方式运行的进程(或使用自己的代码劫持了另一个进程)的情况下如何确保安全。在Windows上,您可以自己触发此操作,例如,下载
http://example.com/virus.exe
,然后自动运行。即使从未要求您输入UAC提示,您的系统仍然受到有效破坏。在Linux上,您可以通过下载二进制文件(甚至是shell脚本,Ruby脚本,Python脚本)来触发此操作。 ,Java jar等),使其可执行并运行。
大多数OS的安全模型-尤其是那些没有严格配置强制访问控制策略的操作系统。为方便起见,几乎从来没有开箱即用-无法在此级别减轻威胁。
以下潜在的攻击媒介立即在Windows,Mac OS X,桌面GNU / Linux,桌面上呈现BSD,Android,iOS等,假设恶意行为者能够在用户/系统上以用户信任的方式运行某种形式的代码:
鼠标/键盘捕获或注入:捕获击键,鼠标移动/点击或注入攻击者自己的键盘/鼠标操作。
屏幕抓取或注入:捕获s显示输出的creenshots或video,或者将攻击者自己的任意数据注入屏幕,使您认为自己在做某件事,而实际上又在做另一件事。服务器。
任意读取您可以以用户身份手动访问的文件系统上的任何数据,并将该数据发送到攻击者的服务器。
在系统API层(C库,安全性库,身份验证库,内核接口等)使用已发布或未发布的攻击,将权限从用户提升到管理员级别,然后执行更高级的折衷技术(rootkit等)。通常,普通用户无法进一步窃取数据或使用户输入密码或个人信息,然后对其进行键盘记录和窃取
给出此可能的攻击媒介列表,以及其他可能的攻击者我想念的是,任何“密码管理器”都不可能主动阻止任何/所有这些方法被利用来窃取您的数据,或者使您认为自己处在合法网站上,然后在不经意间提交凭据或提供给攻击者的个人身份信息。
让我们这样说:如果跨站请求伪造和跨站脚本或Heartbleed相当于将您的前门敞开, o在恶意程序在用户信任下运行的情况下,密码管理器中具有任何有意义的安全性,就像您看到卧室里的抢劫犯正在掠夺您的个人贵重物品并将大笔贵重物品放进去时,试图安静地入睡一样包。
评论
因此,您用肯定的“否”回答了我的问题的第一部分(“从理论上讲,LastPass是否比Chrome更安全?”)。从实际角度来看呢?一个或另一个更容易成为常见攻击的牺牲品吗?
– brentonstrine
2014年4月11日在2:07
从实际的角度来看,为以用户信任方式运行的恶意客户端程序提取数据的最常见方法是(1)捕获击键,然后(2)将它们发送到远程服务器。 LastPass和Chrome(以及任何其他涉及密码的系统)都完全完全受到此技术的攻击。您输入密码并已拥有。
– allquixotic
2014年4月11日下午13:31
@HornOK请问,最常见的方式是网上诱骗吗?
–传真
18-11-16在13:15
#4 楼
对我来说,这就像是在说,您不必费心锁车,因为如果有人真的想进来,他们只要砸碎一个窗户即可。即使您保留LastPass会话的签名, in(如果其他任何人都可以访问您的计算机,则不建议这样做),它在几种方面都比使用任何将密钥存储在磁盘(Chrome)上的系统都要强。
LastPass键只能在登录会话时访问(在内存中),而Chrome键可以在任何时候访问(如果您具有文件访问权限)。这意味着后者容易受到更大范围的攻击:
即使您保持计算机的物理安全,如果有人可以访问未加密的备份驱动器,云备份或本地网络,备份,他们可以获取您的密钥。例如,我工作的计算机将用户配置文件备份到SMB网络共享上-文件传输未加密,因此任何有权访问网络或备份服务器磁盘或备份磁盘,甚至将来可以访问这些磁盘的人,如果我将所有密码保存在Chrome中,则会得到所有密码。
您的计算机被锁定或关闭后,无法访问LastPass中的密钥,但是Chrome中的密钥仍在磁盘上(假设您的硬盘驱动器未加密。)有动机的攻击者可以将硬盘驱动器取出或带走整个计算机。
如果是远程攻击者,那么恶意程序从您的用户那里复制几个Chrome文件就更简单了。帐户,而不是获取一个恶意程序来访问当前打开的LastPass会话。 LastPass可能会阻止其他用户级别的软件访问其内存并操纵其窗口输入,而试图控制屏幕或键盘的软件可能会警告病毒扫描程序。 [请注意,替换程序快捷方式并拦截LastPass的将来执行仍然很容易,但这要求您不要注意到入侵。]
当然,如果您使计算机处于未锁定状态并且有人走过去并获取所有密码,那是您自己的错,但是至少使用LastPass,您可以选择锁定会话并使其更加复杂。
#5 楼
您假设“智能恶意黑客”在系统上安装了恶意软件。任何两个密码管理器之间的任何差异都是微不足道的,并且在那时纯粹是运气问题,而不是设计的安全保证。评论
呵呵,那么唯一会有所作为的是两步式身份验证? (例如Google Authenticator)
– brentonstrine
13年8月20日在20:43
#6 楼
如果您担心安全性,请对整个Google堆栈进行两因素身份验证,然后使用Chromebook。不是Mac也不是Windows PC。从gmail,驱动器,日历等开始。Chromebook在某些方面受到限制,但对高级持久性威胁的抵抗力要大得多。如果他们在网络中遇到后门,他们可以拦截您的chromebook流量,但是,他们无法在您的设备中获得持久的立足点或后门。这非常困难。
我在一家网络安全公司工作。我们所有的员工都在不断受到攻击。我每月大约在Windows设备上进行一次内存转储,然后进行重建。可不是闹着玩的。很累。
Chromebook是一个不错的选择。更安全。您习惯于处理工作表,doc,然后立即将excel,word,pdf-adobe用作文档的存档。另一种更好的思维方式。协作是内置的。日历效果很好。如果您习惯了采用不同的方式来开始协作文档的方法,则可以在Microsoft Office中找到它,而不是使用ms office中的恒定版本。但是您需要习惯它,这是不同的。不同不是更好,不同是不同!所以要耐心点。
#7 楼
作为LastPass的倡导者,Chrome和Lastpass在安全性方面与密码管理器基本相同。LastPass默认情况下会在浏览器中维护恢复密钥(可以将其关闭),即使您不这样做也是如此。如果有人可以访问您的电子邮件/ SMS,请不要一直保持登录状态。他们可以重置访问权限。
LastPass具有很多卖点,跨浏览器支持,企业功能等,但是我不知道认为这些都不会让它更安全。
对我们来说,卖点是它提供了一些基本的企业报告。因此,我可以判断我的用户是否正在使用LastPass,他们是否拥有2FA并使用了随机密码(或者至少是同样强度较高的密码)。
您可以禁用恢复令牌,按国家/地区限制访问权限,将设备列入白名单并启用2FA,但它仍然是具有各种复杂本地访问权限的浏览器插件。
评论
我发现这是一篇很有帮助的文章,但没有考虑使用带有同步密码的Chrome和带有“记住我”设置的LastPass。