Как chrome шифрует пароли

Обновлено: 05.07.2024

Они зашифрованы на диске? Как? Безопасны ли они, например, в случае, если кто-то загружается с Live CD и монтирует жесткий диск?

Как генерируется ключ шифрования? Отличается ли это в Windows и Linux?

Обратите внимание, что Google отказался от внедрения мастер-пароля (как у Firefox), потому что это создаст ложное чувство безопасности, и есть такие инструменты, как Chromepass, которые могут расшифровывать базу данных паролей при условии, что пользователь вошел в систему.

Вы, кажется, любопытно, особенно о ключе, используемом для шифрования паролей в Chrome.

Каждый пароль шифруется другим случайным ключом.

А затем зашифрованный пароль сохраняется в файле базы данных SQLite:

Вы можете использовать что-то вроде SQLite Database Browser или SQLite Maestro для просмотра. Вот фрагмент из моего Login Data файла:

Вы заметите, что пароль - это зашифрованный набор данных. Примерный алгоритм шифрования нового пароля:

И Chrome сохраняет этот BLOB-объект в своей базе данных SQLite.

Но чтобы ответить на ваш вопрос: откуда взялся ключ шифрования?

Каждый пароль шифруется другим случайно сгенерированным ключом

Конечно, я не учел технические детали. Chrome не шифрует ваши пароли сам. Chrome не имеет мастер-ключа, используемого для шифрования чего-либо. Chrome не выполняет шифрование. Windows делает.

Есть функция Windows CryptProtectData , которая используется для шифрования любых произвольных данных, которые вам нравятся. Детали его вызова менее важны. Но если я придумываю псевдоязык, который может быть несколько расшифрован как любой язык программирования, Chrome вызывает:

• Открытый текст : correct battery horse staple
• Зашифровано : 01000000D08C9DDF0115D1118C7A00C04FC297EB01000000BB0E1F4548ADC84A82EC0873552BCB460000000002000000000003660000C0000000100000006811169334524F33D880DE0C842B9BBB0000000004800000A00000001000000043C8E23979F5CC5499D73610B969A92A08000000EE07953DEC9F7CA01400000098B5F0F01E35B0DC6BBAFC53A9B1254AC999F4FA

Вы заметите, что мне никогда не нужно было вводить пароль. Это потому, что обо всем этом заботится Windows. В конце:

• случайный пароль генерируется для шифрования пароля
• этот пароль зашифрован случайным паролем
• этот пароль зашифрован вашим паролем Windows

Таким образом, единственный способ узнать ваш пароль, если он знает ваш пароль.

Если вы столкнулись с ситуацией в которой необходимо узнать, где в Google Chrome хранятся пароли, то я предлагаю вам прочитать эту статью. В ней я постараюсь подробно, но понятным языком рассказать не только о методах хранения, но и о методах шифрования паролей в браузере Google Chrome. Кстати о том же, но только в браузере Мозила, мы писали в статье «Где хранит пароли Firefox».

Мы уже не раз говорили, что хранить пароли в браузере не самая хорошая идея. О том, как это лучше и правильнее сделать, вы можете прочесть в в нашей публикации «Где хранить пароли».

Где Chrome хранит пароли?

Ниже я покажу все возможные расположения папок и файла паролей Гугл Хром в разных операционных системах.

Пароли Хром хранятся в папке:

Windows XP

Windows Vista

Windows 7

Windows 8

Windows 10

Mac OS X

Linux

Chrome OS

Все что описано выше, касается только браузера Google Chrome. В других браузерах, работающих на движке Chromium, типа Comodo Dragon, Bromium и т.д., расположение папок может отличатся!

Пароли Хром хранятся в файле:

Данный файл представляет собой базу данных SQLite. Открыв этот файл вы можете увидеть несколько колонок:

Чем открыть файл Login Data?

Login data

Как вытащить пароли Google Chrome?

Если это ваши пароли, в вашей операционной системе, вы можете посмотреть сохраненные пароли с помощью собственного менеджера паролей Гугл Хром. Как это сделать мы писали в этой статье.

ChromePass

Включенный антивирус может срабатывать на данную утилиту. Но вас это не должно пугать, это на 100% ложное срабатывание.

Как защитить пароли Google Chrome?

Теперь пару слов о защите. Единственное и самое важное правило, которое вы должны знать, это не позволять вашему браузеру запоминать введенные логины и пароли. Вместо этого использовать менеджеры паролей. А еще лучше запоминать пароли с помощью специальных карточек, об этом легком способе запоминания даже трудных паролей мы писали в статье «Как запомнить пароль»

TL;DR: в настоящее время ответ «нет». У обеих служб есть слабые места в защите. Впрочем, некоторые из этих недостатков хуже других.

Начну с синхронизации Chrome, где ответ более предсказуем. В конце концов, несколько вещей указывают на то, что данная услуга создана скорее для удобства, чем для приватности. Например, пароль для защиты ваших данных от Google необязателен. В настройках нет предупреждения типа «Эй, вас не волнует, что мы можем заглянуть в ваши данные? Лучше установите пароль». Вместо этого пользователь должен сам проявить инициативу. Другой признак — то, что Google открывает доступ к паролям через веб-страницу. Вероятно, идея в том, чтобы вы могли открыть эту веб-страницу с чужого компьютера, например, из интернет-кафе. Хорошая идея? Вряд ли.

В любом случае, что произойдет после установки пароля? Он будет использоваться для получения (среди прочего) ключа шифрования — и ваши данные зашифруются этим ключом. Конечно, здесь возникает большой вопрос: если кто-то получит ваши зашифрованные данные с сервера, насколько пароль защищён от брутфорса? Оказывается, Chrome использует PBKDF2-HMAC-SHA1 с 1003 итерациями.

Чтобы это значит? Тут я опять для справки приведу цифры из этой статьи: с учётом этих итераций одна графическая карта Nvidia GTX 1080 может обсчитать 3,2 миллиона хэшей PBKDF2-HMAC-SHA1 в секунду. Это 3,2 миллиона угаданных паролей в секунду. То есть 1,5 миллиарда паролей, известных из различных утечек веб-сайтов, обсчитываются менее чем за 8 минут. Что насчёт надёжного пароля с энтропией 40 бит, который эти специалисты считают средним паролем у людей? Вероятно, специалисты переоценивает возможности людей по выбору хороших паролей, но примерно за два дня этот пароль будет подобран.

На самом деле ситуация ещё хуже. Соль, которую Chrome использует для получения ключа, представляет собой константу. Это означает, что один и тот же пароль у разных пользователей Chrome соответствует одинаковым ключам шифрования. В свою очередь, это значит, что при наличии большого объёма данных от разных пользователей можно проводить атаку сразу на всех. Таким образом, за четыре дня будет подобран пароль к любой учётной записи, где используется пароль с энтропией до 40 бит. Имейте в виду, что у самой Google достаточно оборудования, чтобы проделать эту работу за несколько минут, если не секунд. Я говорю о тех злоумышленниках, кто не хочет тратить на оборудование более 1000 долларов.

Я зарегистрировал этот баг в трекере с номером 820976, следите за обновлениями.

Примечание. Особая благодарность Chrome за креативность в бесполезной трате ресурсов CPU. Эта функция прогоняет PBKDF2 четыре раза, хотя одного прохода достаточно. Первый запуск получает соль от имени хоста и имени пользователя (в случае синхронизации Chrome это константы). Это довольно бессмысленно: соль не должна быть секретом, она просто должна быть уникальной. Так что объединение значений или прогон на них SHA-256 дают тот же эффект. Следующие три запуска генерируют три разных ключа из идентичных входных данных, используя разное число итераций. Один вызов PBKDF2 с генерацией данных для всех трёх ключей явно был бы эффективнее.

Синхронизация Firefox использует хорошо документированный протокол Firefox Accounts для установки ключей шифрования. Хотя различные параметры и выполняемые там операции могут запутать, но похоже, что это хорошо продуманный подход. Если кто-то получит доступ к данным, хранящимся на сервере, то им придётся иметь дело с ключами на основе scrypt. Перебор scrypt на специализированном оборудовании гораздо сложнее, чем PBKDF2 хотя бы потому, что каждый вызов scrypt требует 64 МБ памяти — если учитывать параметры, которые использует Mozilla.

Тем не менее, есть существенный недостаток: scrypt работает на сервере Firefox Accounts, а не на стороне клиента. На стороне клиента этот протокол использует PBKDF2-HMAC-SHA256 только с 1000 итерациями. И хотя полученный парольный хэш не хранится на сервере, но если кто-то перехватит его во время передачи на сервер, то сможет относительно легко подобрать пароль. В данном случае одна видеокарта Nvidia GTX 1080 будет проверять 1,2 миллиона хэшей в секунду. Хотя для каждого аккаунта придётся начинать операцию заново, но проверка 1,5 миллиарда известных паролей займёт 20 минут. И пароль с 40-битной энтропией угадают в среднем за пять дней. В зависимости от содержимого учётной записи такая трата ресурсов может окупиться.

Самое интересное: Mozilla оплатила аудит безопасности Firefox Accounts, и этот аудит указал генерацию ключа на стороне клиента как ключевой недостаток. Таким образом, Mozilla знает о проблеме, как минимум, 18 месяцев, а 8 месяцев назад даже опубликовала эту информацию. В чём же дело? Судя по всему, проблему не посчитали слишком важной. Возможно, это отчасти связано с тем, что аудитор неправильно оценил риск:

Атака предполагает очень сильного злоумышленника, который способен обойти TLS.

Я изначально зарепортил этот баг как 1444866. Сейчас он помечен как дубликат бага 1320222 — я не смог его найти, потому что он был помечен как «важный в отношении безопасности» (security sensitive), хотя не содержит никакой новой информации.

Синхронизация паролей «Гугл» — это официальная возможность поискового гиганта сохранять на своих серверах и автоматически вводить из пользовательского профиля комбинации паролей и сайтов, приложений, сторонних сервисов.

Сохранённые в Google сложные пароли украсть или взломать почти невозможно, если только сама Google не станет причиной утечки Сохранённые в Google сложные пароли украсть или взломать почти невозможно, если только сама Google не станет причиной утечки

Компания Google считает это самым безопасным способом защиты паролей. Забыть или потерять сохранённую на их сервере комбинацию невозможно. Забрутфорсить длинные варианты с цифрами и спецсимволами сложно (уйдут годы). Считать набор на клавиатуре троянами-кейлоггерами тоже нельзя — нет ручного ввода, он автоматический.

🔎 Можно ли доверить Google синхронизацию паролей, ведь по сути я передаю коммерческой компании буквально ключи от моих денег и имущества?

Всё-таки доверять кому бы то ни было персональные данные вредно . Рано или поздно они могут быть скомпроментированы, так как абсолютной защиты не существует.

Вот только у нас с вами по сути не остаётся выбора, кроме как вынужденно пойти на меньшее из зол .

Почему мне следует выбирать именно Google-синхронизацию паролей?

В широкоизвестном среди системных администраторов документе по управлению ИТ-рисками NIST Special Publication 800-63B от 2003-го года были приняты несколько рекомендаций по составлению пароля:

• прописные и строчные буквы,
• чередование с цифрами,
• частые замены букв на цифры
• и произвольный порядок размещения спецсимволов.

В дальнейшем документ обновили — для снижения рисков оказалось достаточно любых длинных паролей (скажем, YaPriehalNaSeloChtobPlyasatiVeselo ).

Но онлайн-сервисы до сих пор требуют указывать именно сложные пароли, (для наглядности: Z3l-4Sl&uG! ). Они не пропустят вас с комбинацией без спецсимволов и цифр.

Сервисы перестраховались и продиктовали нам правила игры

Запомнить сложные комбинации букв, цифр и спецсимволов практически невозможно . Особенно если следовать правилу регулярного обновления сложных паролей и чтобы к каждому сайту они были разными. У пользователей просто не остаётся выбора, кроме как записывать их на бумаге (ненадёжно) или доверить менеджерам паролей (как если синхронизировать пароли в «Гугл Хром», например).

Конечно, лучше вести парольную книгу где-нибудь в надёжном месте. Та же Google — международная корпорация, с которой любой скандал может вылиться в многомиллиардные иски. Вспомнить только пример неэффективного построения сервиса слежения за пользовательской активностью на картах (история двухлетней давности).

Мы в ZEL-Услуги не стали бы доверять хранение паролей какому-нибудь небольшому частному приложению из Google Play или App Store . «Cинхронизация паролей Гугл» — меньшее из вынужденных вариантов зла в этом плане.

Браузер Google Chrome оснащен удобной системой управления пользовательскими аккаунтами, поэтому каждый может заходить и просматривать свою историю посещения сайтов, управлять закладками, изменять шифры и т.д.

Что касается последнего пункта, то он всегда важен для каждого компьютерного пользователя, ведь пароль – это главный шифр, чтобы защититься от злоумышленников и посторонних лиц. Далее рассмотрим, как эффективно управлять всеми паролями, чтобы повысить свою безопасность использования поисковика.

Можно ли поставить пароль на браузер Гугл Хром

Ключевыми данными для мошенников и хакеров являются не только ваши защитные коды от аккаунтов, но также данные банковской карты и доступ к ней, автоматические входы на сайты, история поиска.

Поскольку поисковик является программой свободного доступа, ее запуск может осуществить каждый пользователь. В самом обозревателе не хранится тайная и зашифрованная информация, кроме той, которую сохраняете вы сами, когда пользуетесь Интернетом. К сожалению, запаролить вход в Хром невозможно, что не предусмотрено разработчиками.

В большинстве случаев пароли в Google Chrome происходит автоматически

Но можно использовать специальные расширения и утилиты, которые позволяют на вашем персональном компьютере установить пароль на браузер только вам и ограничивать посторонних пользователей. Далее рассмотрим, как это сделать.

Простые способы установки пароля

В зависимости от того, на каком устройстве вы собираетесь устанавливать защиту, будут свои особенности в работе с браузером.

Для ПК

Конечно же, чаще мы используем поисковик именно на компьютере, поэтому первый способ паролирования заключается в защите доступа ко всем шифрам, которые хранятся в разделе настроек.

Необходимо выполнить такие процедуры:

• зайти в настройки и выбрать раздел со справкой, затем перейти в раздел о Хроме;
• открыть страницу chrome://flags менеджера паролей, затем включить ссылку;
• осуществить перезапуск обозревателя.

Чтобы защитить настройки Chrome, следует:

• зайти в настройки браузера и выбрать опцию входа в аккаунт;
• после авторизации открыть страницу chrome://flags и включить новую систему управления профилями;
• создать контролируемый профиль;
• перезапустить браузер, что позволяет появиться кнопке для блокирования вашего аккаунта от стороннего доступа.

Чтобы установить пароль для запуска поисковика, требуется:

• установить расширение LockPW через опцию дополнительных инструментов и расширений;
• далее будет высвечиваться окно с рекомендуемыми действиями и вы нажимаете Далее;
• придумать пароль и задать его, а также активировать все переключатели в правой части окна;
• подтвердить сохранение изменений;
• каждый раз при входе в браузер вам необходимо будет вводить код защиты.

Установка пароля в Гугл Хром на ПК не займет много времени

Для смартфона

Чтобы обеспечить безопасность использования смартфона, в котором установлен браузер Гугл Хром, необходимо провести определенные манипуляции.

Установка пароля для смартфона тоже не займет много времени

Аналогом компьютерного расширения служит утилита AppLock, подходящая для всех гаджетов на операционке Андроид или iOS:

• запустить приложение;
• из предложенного списка программ выбрать браузер Гугл Хром, для которого будет задаваться пароль;
• выбрать способ защиты и придумать шифр;
• подтвердить все действия.

Как просматривать свои пароли в Google Chrome

После создания нового аккаунта и прохождения процедура авторизации в браузере будут сохраняться все данные доступа, чтобы в следующий раз ускорить вход и вам не пришлось заново вводить имя пользователя и пароля на Google Chrome.

Для просмотра всех сохраненных паролей можно зайти в настройки поисковика и выбрать раздел с паролями. Или же просто ввести в строку поиска в браузере chrome://settings/passwords.

В мобильном устройстве принцип аналогичен, только в настройках переходите в раздел основных и далее к паролям.

Как включить или отключить сохранение паролей

Включение и отключение защитных шифров происходит через настройки, где вы можете их все просмотреть.

Если у вас активно приложение LockPW, выполните следующее:

• запустить браузер;
• перейтипоссылке chrome://extensions/;
• на странице программы нажать кнопку параметров;
• отключить активность программы.

Мобильное приложение AppLock можно отключить через функционал или полностью удалить, чтобы управлять доступом к Гугл Хром.

Читайте также:

  
• Arma 3 файлы не подписаны ключом который принимается сервером
  
• Как увеличить скорость модема
  
• К какому классу компьютеров относится ноутбуки
  
• Как правильно оформить js файл
  
• Deus ex 2000 как изменить разрешение экрана