Comments 23
Но ведь любое такое шифрование без мастер-пароля (ихи хотя бы выдачи паролей из хранилища после подтверждения через UAC/sudo) — это заведомая профанация. Некоторые свободные проекты даже намеренно хранили пароли открытым текстом, чтобы не создавать у пользователя ложное ощущение защищённости!
Стыдно, гугл! Фу таким быть.
Забавно что первых два комментария противоречат друг другу.
Сторонние менеджеры паролей хотя бы делают усложнение в процессе получения паролей.
Раньше на Хабре бывали технические детали...
в chrome мастер-паролем является пароль учетки пользователя в ОС. добавлять настоящий мастер-пароль вроде не планируют.
в firefox мастер-пароль есть, алгоритм шифрования aes. 10 лет лиса использовала уязвимый (в теории) способ генерации хеша мастер-пароля. проблему исправили лишь пару месяцев назад вместе с переходом на новое хранилище ключей (key4.db).
я не специалист в области криптографии, так что в деталях могу ошибаться.
Usually, the only user who can decrypt the data is a user with the same logon credentials as the user who encrypted the data. In addition, the encryption and decryption must be done on the same computer.
А вы этот пароль вводите? Если нет, то нет никакого мастер-пароля.
В теории — всё верно, браузер с заданным и достаточно сложным мастер-паролем способен хранить пароли достаточно безопасным образом. Но на практике лучше в браузере пароли не сохранять в принципе, а использовать для хранения паролей отдельное приложение вроде KeePass. Причин для этого несколько: пароли бывают не только для сайтов, браузер бывает не только один, специализированное приложение обычно лучше выполняет свою работу, у браузеров не лучшая репутация в плане хранения паролей из-за упомянутых в статье инструментов кражи этих паролей из браузеров, есть вероятность что вредоносный плагин к браузеру или вредоносный JS загрузивший в фреймах формы логина со сторонних сайтов с автозаполнением форм смогут украсть пароли либо через штатные фичи браузера либо через уязвимости браузера. В целом браузер — гигантское сложнейшее приложение выполняющее код присылаемый сторонними сайтами и имеющее бесконечную историю уязвимостей — не лучшее место, где стоит хранить свои пароли.
Почему вредоносный JS из фрейма не сможет украсть вставленный, условным KeePass, пароль в форму?
Пароли из KeePass украсть несколько сложнее, мне лично неизвестно о существовании утилит для кражи паролей из KeePass, а Вам? Что до JS и фреймов, то у KeePass нет такого автозаполнения, нужно нажать ручками, плюс ещё при первом обращении разрешить доступ конкретному сайту к конкретному паролю(ям).
Разница в том, что если для вставки пароля требуется действие пользователя, то его сложнее украсть незаметно (напр. загрузив в скрытом фрейме на постороннем сайте форму логина в фейсбук), плюс каждому конкретному сайту доступ к конкретным паролям выдаётся отдельно, так что если посторонний сайт запросит у меня пароль к фейсбуку это будет жирным намёком.
В целом, я не утверждаю, что при использовании KeePass пароль невозможно перехватить. Я говорю, что украсть все пароли пользователя (как делают утилиты упомянутые в статье) через браузер практически нереально (по сути для этого нужен либо кейлоггер для перехвата мастер-пароля либо возможность читать память самого KeePass — т.е. по сути полный контроль над компом юзера), и что намного сложнее украсть даже один пароль незаметно для пользователя.
Самый реальный вариант для кражи паролей при использовании KeePass — если у пользователя установлено вредоносное расширение для браузера, пользователь выдал ему достаточно прав (а браузер сейчас политику в отношении прав расширений ужесточают) и оно перехватывает все отправляемые формы. Но такой способ будет работать с любыми подходами, хоть KeePass, хоть пароли запомненные браузером, хоть пароль который всегда вводится вручную, так что обсуждать его в контексте статьи бессмысленно. И украдено будет не так много паролей — на каком проценте сайтов, где Вы зарегистрированы, Вы логинитесь хотя бы раз в неделю?
Я возможно скажу глупость, но не пара ли вводить двухфакторную аутентификацию везде (otp например), в этом случае кража пароля становится совершенно бессмысленна. Украсть одновременно пароль и информацию с телефона или ключа доступа будет практически нереально.
Создатели вредоносного ПО научились обходить улучшенное шифрование паролей в Chrome 80