Comments 53
Стандартные функции управления паролями браузеров Chrome, Firefox и Edge обеспечивают лишь видимость защищённого хранения паролей. На самом деле, они не дают абсолютно никакой защиты сохраняемых пользовательских паролей.
Чтож, полезная информация. Спасибо.
Все, кто пользуется для хранения паролей браузером Chrome, Firefox или Edge, должны включить функцию шифрования master- или primary-паролем.
И как же это сделать? Тема не раскрыта.
Оснастка для домена позволяет раскидать такое требование политикой для Chrome - точно, для ежа, видимо, тоже, огнелис - под вопросом)
При этом, статья заплюсована. Кто все эти люди? Ну ладно, можно не разбираться, как работать мастер-пароль. Но у читателей ничего в голове не шелохнётся, когда им сначала говорят одно, а потом совершенно противоположное? Хотя бы простейший вопрос «эй, но ведь ты пару минут назад совсем другое говорил, как же так». Они покорно кивают, жмякают плюсик и отправляются загонять свои пароли в LastPass?
Ну я например плюсанул бы, но информация довольно очевидная. В чём противоречие? Статья неглубокая, но 100% верная.
Перечитайте статью ещё раз. В ней утвержадется, что "стандартные средства браузера не защищают пароли пользователя в конфигурации ПО-УМОЛЧАНИЮ", и что "есть встроенный механизм, дающий достаточный уровень защиты, но ПО-УМОЛЧАНИЮ отключенный", который "настойчиво рекомендуется включить". Где здесь противоречия?
"все три продукта намеренно оставляют связанные ключи шифрования совершенно незащищёнными" - ну что же вы такое пишете? Ни один из браузеров не хранит ключи шифрования сохраненных паролей вообще, если master-пароль не используется! И более того скажу: браузеры это шифрование даже не реализовывают!
Секрет прост: используется системный DPAPI, в частности функции CryptProtect + CryptUnprotect. Ваш туман загадочности с "намеренно не раскрываем подробностей" совершенно не нужен, особенно на техническом ресурсе. Скрипткиддисы уже все знают и умеют.
Секрет прост: используется системный DPAPI, в частности функции CryptProtect + CryptUnprotect.
А под виндой он совсем уж бесполезный для данной цели, получается?
Под Mac OS, если приложение положило что-то в keychain – другому afaik так просто дотянуться до этой записи не получится. Надо права дать (или приложение, которое положило, или юзер явно).
Другой пользователь тоже не сможет расшифровать данные. Трояны всегда расшифровывают их на машине жертвы именно по этой причине.
Другой пользователь – не совсем то... ну или совсем не то. Права на keychain разделены по приложениям (правда, это требует подписи приложений). Ну или можно в group keychain положить – чтобы было доступно нескольким приложениям одного разработчика.
Я храню свои личные пароли в Bitwarden, думая, что защищён. А тем временем мой мастер-пароль для входа на сайт самого Bitwarden, из 32 рандомных символов, который я специально запоминал и нигде не записывал, "хранится" у Firefox и может запросто предоставить доступ злоумышленнику к централизованному хранилищу всех моих паролей. Вот так новость! Не ожидал такого от любимого браузера. Неужели теперь придётся новый мастер-пароль заучивать...
который я специально запоминал и нигде не записывалЕсли вы его не сохраняли в браузере, то он там и не сохранён. Посмотрите в списке сохранённых паролей.
Кроме того, если вы пользуетесь сторонним менеджером паролей, отчего в настройках браузера совсем не отключить сохранение паролей в браузере?
Разумно, но дело как раз в том, что для быстрого входа на сайт Bitwarden, я сохранил мастер-пароль в браузере, когда он мне это предложил =/
Может, тут можно применить USB-брелок-ключ?
Для FF есть addon Bitwarden, который если и хранит мастер-пароль - то точно не тем способом, каким сам FF сохраняет пароли (хотя с этим тоже интересно бы разобраться, как он его хранит). У меня он его спрашивает заново при каждом перезапуске браузера, но можно настроить хоть в 1 минуту таймаут.
Мне почему-то казалось, что мастер паролем для бд будет пароль учетной записи в windows
Вы отчасти правы в случае отсутствия мастер-пароля: DPAPI позволяет расшифровать данные только под тем юзером, который их и шифровал...
Ну, тогда что вообще защищать)
А вот у Firefox именно так — достаточно профиль стянуть, дальше можно спокойно копать на своей машине. Потому что либо там пароли зашифрованы мастер-паролем, придуманным и вводимым пользователем, либо не зашифрованы вообще.
Если пароля нет, значит, скорее всего, это админ (в домене пустых паролей не бывает обычно, а тут походу дела один пользователь на компе), если это админ, можно поставить какое-нибудь ПО, если можно поставить какое-нибудь ПО, значит комп может перейти к злоумышленнику. В общем решать проблемы нужно по мере важности, в начале пароль от системы и привычка блокировать экран когда отходишь, а уже потом смотреть на менее очевидные дыры в безопастности.
Да и от юзера многое можно запустить
У Яндекса мастер-пароль включен по умолчанию, ЕМНИП.
И не только у сайтов. В одной ИС, в которой работают многие коллеги, пошла мода по десятку раз за день вылетать на ввод пароля. Техподдержка ответила, что это норма (?!), мол система сильно нагружена и неактивных юзеров разлогинивает. Менеджеров паролей нам не завезли, usb брелков тоже, кто-то будет руками вбивать десятки раз эти пароли "не менее 8 символов, обязательно прописные и строчные, спецсимволы, не совпадающие как минимум 3 символами с 4 предыдущими, со сроком действия 60 дней"? Нет конечно.
Потому что все боятся cookie theft. И не зря боятся в мире, где куча народу куда угодно заходят удаленно из Бог знает каких публичных сетей не особо парясь на тему того, что они в этой публичной сети в первый раз в жизни работают и ничего не знают про её владельцев.
ну вот, кстати
https://habr.com/ru/company/cloud4y/news/t/684758/
для более важных паролей создал сриптоконтейнер и профиль браузера firefox храню в нем - это мне удобней менеджеров паролей
А софтина, которую вы используете для криптоконтейнера, умеет ограничивать лезущие в него приложения (firefox можно, трояну нет)?
криптоконтейнер тут решает только одну задачу - если я не ввел пароль, то никто к моему профилю браузера не получает доступ при запуске компа или иным способом если получает доступ к диску
Жаль. Интересно было бы увидеть именно решение для Windows, изолирующее важные данные от других приложений (на Маке-то это сделано "из коробки").
Прямо хоть заводи отдельного юзера (или виртуалку) только для запуска браузера...
Не, ну если зловред с большими правами – мало что можно сделать. Но сейчас прочитать контейнер, как я понимаю, может совершенно обычное приложение, запущенное не от администратора.
Если компания будет оплачивать платные хранители, с работой в Виндовс, Линукс, Андроид - с удовольствием буду пользоваться.
А так - на рабочем компе работают люди с допуском. Зачем огород городить - проще ограничить хождение людей без допуска.
А с каких пор мастер-пароль появился в гуглохроме-то? Или имеется в виду пароль учетной записи?
Представьте следующие ситуации:…и все ваши пароли благополучно утекают независимо от того, каким способом они хранятся. Разница только в том, что из незашифрованного профиля браузера они будут стырены сразу же, а из менеджера паролей — в момент, когда пользователь вводит мастер-пароль.
<…> Успешная фишинговая атака позволила низкоуровневому вирусу распространиться по корпоративной сети.
Кстати, а как отключить назойливые предложения сохранить пароль в Гугле на андроид-смартфоне?
Сенсация! Если злоумышленник получил возможность запускать произвольный исполняемый файл на машине жертвы под юзером жертвы, то он, оказывается, может стянуть с него любые данные! Просто-таки невероятно, мир опасносте!
Мастер-пароль ни от чего не защищает, потому что он все равно хранится в памяти (или его хэш), чтобы юзеру не приходилось его все время вводить для каждого нового аккаунта. Раз он в памяти, значит, произвольная запущенная программа может его оттуда считать точно так же. Все эти шифрования файлов - это security over obscurity, для тех, кто осилил написать прогу, тырящую файл, но не осилил написать прогу, тырящую память браузера.
Или нет, и есть какой-то способ не дать проге, запущенной под текущим юзером, прочитать память браузера, запущенного под этим же юзером? Или подменить браузер на что-то другое? (В линуксе это вообще делается как чтение из файла /proc/xyz/mem или типа того.)
На маке же как то сделали?
При входе/регистрации аккаунта, на основе вашего пароля генерируются два независимых значения (PBKDF2 + scrypt), аутентификационный ключ и ключ расшифровки ваших данных.
Аутентификационный ключ посылается на сервер, чтобы он убедился, что вы владелец, он в свою очередь вам присылает зашифрованные данные, которые вы расшифровываете вторым ключом, которому у Mozilla нет доступа.
Да, есть свои недостатки, ваш ключ в файле logins.json, зашифрован, но его всёравно можно угнать стилером, но при этом случае, даже мастер пароль роли не играет, но это пока, что лучшее, что есть у браузеров.
Забыл пароль от банка, залез в пароли chrome на телефоне, скопипастил, потом сообразил, что то же самое может сделать любой, кто найдёт мой телефон. Удалил банковское приложение с телефона и больше не ставлю.
Браузерные менеджеры паролей — изначально ошибочная защита