Безопасно ли хранить пароли в google chrome

Обновлено: 04.07.2024

Встроенные хранилища учётных данных в браузере — настоящая дыра в безопасности. Если вы оставите ваш компьютер без присмотра, чересчур любопытные личности смогут запросто выудить пароль из веб‑обозревателя, покопавшись в настройках. Или воспользоваться специальным расширением — оно просто превратит звёздочки, скрывающие автоматически подставляемые комбинации, в читаемые символы.

Этого можно избежать, настроив в браузере мастер‑пароль (по умолчанию он не используется). Но специальные менеджеры учётных записей защитят ваши данные куда лучше: они могут заставлять вас вводить мастер‑пароль перед каждым открытием базы с учётными записями.

Некоторые приложения позволяют добавить ещё один слой защиты — например, программа будет просить вас указать специальный файл‑ключ при попытке получить доступ к паролям. Или можно настроить двухфакторную аутентификацию — это простой, но чрезвычайно эффективный способ сберечь данные.

2. Нет синхронизации между разными браузерами

Сейчас любой уважающий себя браузер синхронизирует закладки, журнал и пароли между всеми вашими устройствами. Но, если вы используете Firefox на своём рабочем компьютере, Chrome на смартфоне и Safari на ноутбуке от Apple, обмениваться паролями между собой они, естественно, не будут. Придётся пересаживаться на какой‑то один браузер.

Поэтому лучше внести свои учётные данные раз и навсегда в сторонний менеджер. Все мало‑мальски популярные хранители паролей и кросс‑платформенные, и кросс‑браузерные. Нет ничего проще, чем добавить нужное расширение во все свои веб‑обозреватели и пользоваться в них единой базой паролей.

3. В браузере можно хранить только пароли

Возможности по сохранению данных у браузерных менеджеров паролей довольно скудные. Вы можете внести в запись только саму комбинацию, логин и адрес сайта.

Сторонние менеджеры паролей умеют куда больше. В них можно хранить заметки, кодовые фразы, лицензионные ключи, данные Wi‑Fi‑сетей или, например, SSH‑ключи. Вы можете прикреплять к своим записям вложения: важные документы, фотографии, копии паспортных данных, водительских прав и другую важную информацию. Всё это будет надёжно защищено.

Вдобавок менеджеры паролей лучше подходят для сортировки и организации данных: их можно распределять по папкам, назначать им произвольные имена и снабжать комментариями.

4. Отсутствует функция обмена паролями

Многие менеджеры — тот же LastPass — предоставляют возможность быстро и удобно делиться паролями. Это полезно, если вы хотите дать своим друзьям или родственникам временный доступ к каким‑то вашим аккаунтам — например, чтобы супруга оплатила счета через ваш банковский счёт или знакомые смогли посмотреть фильм через вашу учётку в стриминговом сервисе.

Ещё в менеджере можно настроить аварийный доступ для людей, которым вы доверяете. Если, скажем, вы угодите в больницу, а родственникам надо будет получить доступ к вашим паролям, они смогут это сделать, даже если вы без сознания.

В браузерах подобных возможностей нет. Хотите с кем‑нибудь поделиться паролями — отправляйте их по электронной почте вручную. Это не очень‑то удобно.

5. В браузере нет проверки надёжности паролей

Если вы попытаетесь создать учётную запись со слабым паролем, встроенные средства никак не предупредят вас. Браузер безропотно сохранит любую комбинацию, которую вы введёте, даже 123. Генераторы случайных паролей есть разве что в Chrome и Safari, но они предоставляют только самые базовые возможности — длину и перечень используемых символов не настроить.

Специальные же приложения и тут на высоте. У них есть генераторы надёжных паролей с кучей настроек и параметров, а готовая комбинация сразу оценивается на предмет надёжности.

Кроме того, вы можете с помощью пары щелчков мыши проверить все уже имеющиеся у вас ключи и решить, на каких сайтах их лучше заменить. А, например, LastPass, 1Password, Dashlane и KeePass (при наличии вот такого плагина) умеют предупреждать, если ваш пароль был взломан. Они также находят дублирующиеся ключи, которые вы использовали на нескольких сайтах сразу, и те, что утекли в общедоступные хакерские базы.

Наконец, каждой записи в менеджере можно назначить срок истечения. И когда он пройдёт, вам предложат сменить пароль. В браузерах же старые комбинации могут киснуть годами.

6. Ваши данные хранятся у третьей стороны

Когда вы сохраняете пароль в Chrome или Firefox, он отправляется, пусть и в зашифрованном виде, на серверы Google и Mozilla. Такое положение вещей не очень устроит людей, предпочитающих хранить конфиденциальные сведения у себя и не полагаться на надёжность сторонних сервисов.

Естественно, у облачных менеджеров паролей та же самая проблема. Но тут вы по крайней мере имеете несколько альтернатив, не заставляющих вас держать данные на чужих серверах.

Воспользуйтесь KeePass или Enpass. Эти менеджеры паролей хранят учётные сведения в собственных надёжно зашифрованных базах, которые вы можете держать где угодно — на жёстком диске, внешнем накопителе или в собственном облачном хранилище. А такое приложение, как BitWarden, вообще даёт продвинутым пользователям возможность создать свой мини‑сервер для паролей. И ваши учётные сведения будут принадлежать только вам.

TL;DR: в настоящее время ответ «нет». У обеих служб есть слабые места в защите. Впрочем, некоторые из этих недостатков хуже других.

Начну с синхронизации Chrome, где ответ более предсказуем. В конце концов, несколько вещей указывают на то, что данная услуга создана скорее для удобства, чем для приватности. Например, пароль для защиты ваших данных от Google необязателен. В настройках нет предупреждения типа «Эй, вас не волнует, что мы можем заглянуть в ваши данные? Лучше установите пароль». Вместо этого пользователь должен сам проявить инициативу. Другой признак — то, что Google открывает доступ к паролям через веб-страницу. Вероятно, идея в том, чтобы вы могли открыть эту веб-страницу с чужого компьютера, например, из интернет-кафе. Хорошая идея? Вряд ли.

В любом случае, что произойдет после установки пароля? Он будет использоваться для получения (среди прочего) ключа шифрования — и ваши данные зашифруются этим ключом. Конечно, здесь возникает большой вопрос: если кто-то получит ваши зашифрованные данные с сервера, насколько пароль защищён от брутфорса? Оказывается, Chrome использует PBKDF2-HMAC-SHA1 с 1003 итерациями.

Чтобы это значит? Тут я опять для справки приведу цифры из этой статьи: с учётом этих итераций одна графическая карта Nvidia GTX 1080 может обсчитать 3,2 миллиона хэшей PBKDF2-HMAC-SHA1 в секунду. Это 3,2 миллиона угаданных паролей в секунду. То есть 1,5 миллиарда паролей, известных из различных утечек веб-сайтов, обсчитываются менее чем за 8 минут. Что насчёт надёжного пароля с энтропией 40 бит, который эти специалисты считают средним паролем у людей? Вероятно, специалисты переоценивает возможности людей по выбору хороших паролей, но примерно за два дня этот пароль будет подобран.

На самом деле ситуация ещё хуже. Соль, которую Chrome использует для получения ключа, представляет собой константу. Это означает, что один и тот же пароль у разных пользователей Chrome соответствует одинаковым ключам шифрования. В свою очередь, это значит, что при наличии большого объёма данных от разных пользователей можно проводить атаку сразу на всех. Таким образом, за четыре дня будет подобран пароль к любой учётной записи, где используется пароль с энтропией до 40 бит. Имейте в виду, что у самой Google достаточно оборудования, чтобы проделать эту работу за несколько минут, если не секунд. Я говорю о тех злоумышленниках, кто не хочет тратить на оборудование более 1000 долларов.

Я зарегистрировал этот баг в трекере с номером 820976, следите за обновлениями.

Примечание. Особая благодарность Chrome за креативность в бесполезной трате ресурсов CPU. Эта функция прогоняет PBKDF2 четыре раза, хотя одного прохода достаточно. Первый запуск получает соль от имени хоста и имени пользователя (в случае синхронизации Chrome это константы). Это довольно бессмысленно: соль не должна быть секретом, она просто должна быть уникальной. Так что объединение значений или прогон на них SHA-256 дают тот же эффект. Следующие три запуска генерируют три разных ключа из идентичных входных данных, используя разное число итераций. Один вызов PBKDF2 с генерацией данных для всех трёх ключей явно был бы эффективнее.

Синхронизация Firefox использует хорошо документированный протокол Firefox Accounts для установки ключей шифрования. Хотя различные параметры и выполняемые там операции могут запутать, но похоже, что это хорошо продуманный подход. Если кто-то получит доступ к данным, хранящимся на сервере, то им придётся иметь дело с ключами на основе scrypt. Перебор scrypt на специализированном оборудовании гораздо сложнее, чем PBKDF2 хотя бы потому, что каждый вызов scrypt требует 64 МБ памяти — если учитывать параметры, которые использует Mozilla.

Тем не менее, есть существенный недостаток: scrypt работает на сервере Firefox Accounts, а не на стороне клиента. На стороне клиента этот протокол использует PBKDF2-HMAC-SHA256 только с 1000 итерациями. И хотя полученный парольный хэш не хранится на сервере, но если кто-то перехватит его во время передачи на сервер, то сможет относительно легко подобрать пароль. В данном случае одна видеокарта Nvidia GTX 1080 будет проверять 1,2 миллиона хэшей в секунду. Хотя для каждого аккаунта придётся начинать операцию заново, но проверка 1,5 миллиарда известных паролей займёт 20 минут. И пароль с 40-битной энтропией угадают в среднем за пять дней. В зависимости от содержимого учётной записи такая трата ресурсов может окупиться.

Самое интересное: Mozilla оплатила аудит безопасности Firefox Accounts, и этот аудит указал генерацию ключа на стороне клиента как ключевой недостаток. Таким образом, Mozilla знает о проблеме, как минимум, 18 месяцев, а 8 месяцев назад даже опубликовала эту информацию. В чём же дело? Судя по всему, проблему не посчитали слишком важной. Возможно, это отчасти связано с тем, что аудитор неправильно оценил риск:

Атака предполагает очень сильного злоумышленника, который способен обойти TLS.

Я изначально зарепортил этот баг как 1444866. Сейчас он помечен как дубликат бага 1320222 — я не смог его найти, потому что он был помечен как «важный в отношении безопасности» (security sensitive), хотя не содержит никакой новой информации.

Google Chrome, Firefox и Safari позволяют пользователям хранить свои пароли с помощью встроенного менеджера паролей. Некоторые браузеры даже генерируют случайные пароли для пользователей и запоминают их самостоятельно. Это, несомненно, удобная функция — никто не хочет запоминать десятки сложных уникальных паролей. Но насколько безопасны веб-браузеры для хранения этой информации?


У разработчиков есть четкая задача: привлечь как можно больше пользователей на свои платформы. Но удобство часто достигается ценой безопасности, и сохранение паролей в браузере — именно такой случай. Диспетчер паролей на основе браузера не предлагает такой же защиты, как специализированные решения для управления паролями по типу 1Password. В некоторых браузерах (особенно в их старых версиях) данные могут стать легкой добычей для хакеров.

Когда пользователь входит в свою учетную запись Google, Chrome автоматически сохраняет любые вводимые пароли. Если кто-то сможет получить доступ к этой учетной записи, весь список паролей будет доступен им через Диспетчер паролей Google. И даже если вход в учетную запись не выполнен, есть специальные инструменты для извлечения паролей, например, ChromePass.


Firefox скрывает пароли пользователей, используя один мастер-пароль в качестве ключа шифрования. Это шифрование имеет очень низкий уровень безопасности, поэтому при желании злоумышленник легко завладеет вашими паролями. А если у кого-то будет физический доступ к устройству, то получить пароли можно даже без входа в систему с помощью инструментов для восстановления паролей, например PasswordFox.

Safari немного безопаснее, поскольку требует от пользователя создания уникального мастер-пароля. Пользователь Safari может установить код, отличный от пароля операционной системы, и сохранить свои пароли уже с помощью него. Но не все так радужно и ниже мы в этом убедимся.

Помимо уязвимостей безопасности каждого отдельного браузера, существует еще один метод получения пароля, который работает во всех браузерах. И он настолько простой, что любой пользователь сможет раскрыть сохраненные в браузере пароли буквально за минуту:

То, что сохранять пароли в браузере удобно, все и так понимают. Но безопасно ли это делать?


Хранить пароли в браузере, безусловно, очень удобно. Тем более, что современные технологии, например, экосистемы Apple и Google, позволяют переносить их между устройствами. Допустим, между личным ноутбуком, компьютером на работе и смартфоном.

Однако, храня все пароли (в том числе от интернет-банка и портала государственных услуг) в обозревателе, можно ли быть уверенным, что их не похитят злоумышленники? Насколько браузер безопасен в качестве менеджера паролей?

Игра, которая заранее проиграна

Сохраняя пароли в памяти обозревателя, вы должны учитывать: любой, кто сможет хоть ненадолго получить доступ к вашему устройству от вашего имени, будет способен ими воспользоваться.

Опасно ли сохранять пароли в браузере?

Чтобы не быть голословными, дадим слово эксперту. На тему хранения реквизитов в браузере отлично высказался Джастин Шух (Justin Schuh) — руководитель группы разработчиков, отвечающих за техническую безопасность браузера Google Chrome.

В одной из дискуссий на интернет-ресурсе Hacker News он подробно разъяснил политику Chrome относительно хранения паролей.

Поэтому Google Chrome использует для защиты конфиденциальных данных только средства операционной системы — то есть, средства защиты всей учетной записи пользователя, пояснил он. По мнению разработчиков Google, встраивать дополнительную защиту в браузер — значит, давать пользователю «ложное чувство безопасности».

Потому что любой человек, получивший доступ к компьютеру (то есть, к вашей «учетке» в операционной системе), сможет сделать абсолютно все то, что можете и вы — в том числе и войти от вашего имени на разные сайты. Причем это может быть не только абстрактный хакер из Интернета, но и, к примеру, ваш близкий друг или коллега.

Сохраняете пароли — не подпускайте к ним никого!

Невидимому хакеру, на самом деле, достаточно сложно добраться до ваших паролей в обозревателе — при условии, что ваше устройство достаточно защищено от вирусов. При попытке атаки с инъекцией вредоносного ПО через браузер, его встретят ваш антивирус и Защитник Windows, антивирусное приложение для Android или закрытая экосистема iOS.

Опасно ли сохранять пароли в браузере?

Гораздо большую опасность предоставляет самый простой сценарий — люди рядом с вами. Стоит вам ненадолго отлучиться от компьютера на работе, оставив его включенным, и злонамеренный коллега может устроить с вашего ПК рассылку по корпоративной почте или скопировать какие-то данные, представляющие коммерческую тайну.

То же самое и с домашними: никто не помешает вашему брату скопировать все ваши пароли из браузера, едва вы отойдете от ноутбука, чтобы потом над вами подшутить. Или вашей жене — зайти в вашу любимую соцсеть и устроить скандал, увидев вашу переписку с бывшей. Или ребенку — залезть в интернет-банк и перевести деньги с вашей карты на электронный кошелек, чтобы оплатить покупку в онлайн-игре.

Поэтому вывод здесь может быть только один: хотите хранить конфиденциальную информацию в браузере — храните, но не подпускайте к ней никого! Несколько советов, как сделать это, мы сейчас дадим.

Комментарий эксперта

Опасно ли сохранять пароли в браузере?

Денис Легезо, антивирусный эксперт «Лаборатории Касперского».
«Сохранять пароли от почты, соцсетей или онлайн-банкинга в браузерах небезопасно. Да, в современных браузерах можно установить мастер-пароль для шифрования сохраненных данных, но директории, в которых браузеры хранят такую информацию, в любом случае известны. Как известны и вредоносы, которые такие файлы забирают. В сочетании с угрозой от клавиатурных шпионов хранение паролей в браузере становится еще более опасным.
В идеале логин и пароль лучше вводить каждый раз, когда вы совершаете вход в ваши платежные аккаунты, странички соцсетей или почту. Самый безопасный вариант хранения паролей — это по-прежнему в голове. Минус такого подхода в том, что пароли должны быть уникальными для разных сервисов, а запомнить большое количество сложных паролей не просто.
Удобным и более безопасным, чем сохранение в браузерах, является вариант хранения паролей в специально предназначенной для этого локальной программе — менеджере паролей. В этом случае пользователь разделяет активный в сети, и потому находящийся в зоне риска браузер, и свою зашифрованную базу паролей».

Как защитить пароли в обозревателе

Опасно ли сохранять пароли в браузере?

  1. Используйте несколько учетных записей на домашнем компьютере. Каждый пользователь должен иметь свою: ваши пароли хранятся в браузере под вашей «учеткой», жены и детей — под отдельными аккаунтами на каждого человека.
  2. Пароль от вашей учетной записи должны знать только вы сами. Не делитесь им с домашними (и тем более — с посторонними), не забывайте его периодически изменять.
  3. Всегда блокируйте экран компьютера дома и на работе, когда отлучаетесь от ПК даже ненадолго.
  4. Используйте PIN-код, графический ключ, отпечаток пальца или Face ID для автоблокировки мобильных устройств.
  5. Имейте на всех устройствах регулярно обновляемый антивирус, либо подключайтесь к сети через DNS.

Если вам этого мало

Опасно ли сохранять пароли в браузере?

Если защита учетной записи все-таки кажется вам недостаточной для того, чтобы никто не смог воспользоваться вашими паролями в браузере, вы можете поставить мастер-ключ на сам браузер. О том, как сделать это, читайте в нашем материале:

Ключ от браузера, как и от вашего пользовательского аккаунта в ОС, должен быть известен только вам, и не должен нигде записываться и сохраняться. Только в этом случае он будет иметь смысл.

Для мобильного устройства можно воспользоваться приложением-менеджером паролей. Вот здесь у нас есть варианты:

Но следует помнить, что все это — дополнительные меры. Прежде чем воспользоваться ими, подумайте: не усложнят ли они вам жизнь?

Читайте также: