Comments 22
Не прошло и 80-ти версий, как Гугл внедрил новое шифрование))

Но ведь любое такое шифрование без мастер-пароля (ихи хотя бы выдачи паролей из хранилища после подтверждения через UAC/sudo) — это заведомая профанация. Некоторые свободные проекты даже намеренно хранили пароли открытым текстом, чтобы не создавать у пользователя ложное ощущение защищённости!
Стыдно, гугл! Фу таким быть.

Ну открытым текстом совсем плохо, шифровать стоит. Как минимум под windows раньше использовали CryptUnprotectData, а он привязан к пользователю и завязан на авторизацию

Да, открытый текст уязвим к уж совсем простым нетаргерированным атакам уровня grep -R password /, поэтому такая практика сошла на нет.

Забавно что первых два комментария противоречат друг другу.

По-моему, криптостойкость всех алгоритмов примерно одинакова (на уровне плинтуса), если ключ для дешифровки зашит в само приложение.
Вот лишь бы написать… При чем тут AES-256? Ему что, ключ не нужен?
Меня печалит, что для просмотра пароля в хроме я должен вводить пароль пользователя, а программа, запущенная с правами этого пользователя — получает всё легко и просто.
Сторонние менеджеры паролей хотя бы делают усложнение в процессе получения паролей.
пара тех. деталей:

в chrome мастер-паролем является пароль учетки пользователя в ОС. добавлять настоящий мастер-пароль вроде не планируют.

в firefox мастер-пароль есть, алгоритм шифрования aes. 10 лет лиса использовала уязвимый (в теории) способ генерации хеша мастер-пароля. проблему исправили лишь пару месяцев назад вместе с переходом на новое хранилище ключей (key4.db).
пароль используется косвенно. вы заходите в свой профиль, используя пароль. в этом профиле chrome (или винда в случае dpapi) хранит «нечто», что служит ключом для шифрования данных браузера.

я не специалист в области криптографии, так что в деталях могу ошибаться.
CryptUnprotectData
Usually, the only user who can decrypt the data is a user with the same logon credentials as the user who encrypted the data. In addition, the encryption and decryption must be done on the same computer.
Хм. Я, наверное, слегка туповат, но считал что мои пароли (в фаирфоксе в данном случае) лежат зашифрованные мастер-паролем без которого их не расшифровать (ну либо под системными правами прочитать прямо из памяти). Я заблуждался?

А вы этот пароль вводите? Если нет, то нет никакого мастер-пароля.

В теории — всё верно, браузер с заданным и достаточно сложным мастер-паролем способен хранить пароли достаточно безопасным образом. Но на практике лучше в браузере пароли не сохранять в принципе, а использовать для хранения паролей отдельное приложение вроде KeePass. Причин для этого несколько: пароли бывают не только для сайтов, браузер бывает не только один, специализированное приложение обычно лучше выполняет свою работу, у браузеров не лучшая репутация в плане хранения паролей из-за упомянутых в статье инструментов кражи этих паролей из браузеров, есть вероятность что вредоносный плагин к браузеру или вредоносный JS загрузивший в фреймах формы логина со сторонних сайтов с автозаполнением форм смогут украсть пароли либо через штатные фичи браузера либо через уязвимости браузера. В целом браузер — гигантское сложнейшее приложение выполняющее код присылаемый сторонними сайтами и имеющее бесконечную историю уязвимостей — не лучшее место, где стоит хранить свои пароли.

Почему вы решили что вредоносное ПО так же не ворует пароли условного KeePass?
Почему вредоносный JS из фрейма не сможет украсть вставленный, условным KeePass, пароль в форму?

Пароли из KeePass украсть несколько сложнее, мне лично неизвестно о существовании утилит для кражи паролей из KeePass, а Вам? Что до JS и фреймов, то у KeePass нет такого автозаполнения, нужно нажать ручками, плюс ещё при первом обращении разрешить доступ конкретному сайту к конкретному паролю(ям).

какая разница, чем вставлять текст в поле формы. после вставки он станет доступен скрипту. и если скрипт находится в расширении браузера, то отключение скриптов на сайте не поможет.

Разница в том, что если для вставки пароля требуется действие пользователя, то его сложнее украсть незаметно (напр. загрузив в скрытом фрейме на постороннем сайте форму логина в фейсбук), плюс каждому конкретному сайту доступ к конкретным паролям выдаётся отдельно, так что если посторонний сайт запросит у меня пароль к фейсбуку это будет жирным намёком.


В целом, я не утверждаю, что при использовании KeePass пароль невозможно перехватить. Я говорю, что украсть все пароли пользователя (как делают утилиты упомянутые в статье) через браузер практически нереально (по сути для этого нужен либо кейлоггер для перехвата мастер-пароля либо возможность читать память самого KeePass — т.е. по сути полный контроль над компом юзера), и что намного сложнее украсть даже один пароль незаметно для пользователя.


Самый реальный вариант для кражи паролей при использовании KeePass — если у пользователя установлено вредоносное расширение для браузера, пользователь выдал ему достаточно прав (а браузер сейчас политику в отношении прав расширений ужесточают) и оно перехватывает все отправляемые формы. Но такой способ будет работать с любыми подходами, хоть KeePass, хоть пароли запомненные браузером, хоть пароль который всегда вводится вручную, так что обсуждать его в контексте статьи бессмысленно. И украдено будет не так много паролей — на каком проценте сайтов, где Вы зарегистрированы, Вы логинитесь хотя бы раз в неделю?

Only those users with full accounts are able to leave comments. Log in, please.