Comments 16
Отлично! Было бы неплохо тоже самое еще и для Firefox :)
>> Этот файл — «Login Data» в папке «C:\Users\SomeUser\AppData\Local\Google\Chrome\User Data\Default\»
Я бы лучше использовал путь "%appdata%\..\Local\Google\Chrome\User Data\Default\Login Data"
Я бы лучше использовал путь "%appdata%\..\Local\Google\Chrome\User Data\Default\Login Data"
Буду иметь в виду. Спасибо. Подобную терминологию знаю, но что то пока не привык на практике применять.
PS Если кому нужно — месторасположение этой папки ("%appdata%\..\Local") в C# можно узнать так:
PS Если кому нужно — месторасположение этой папки ("%appdata%\..\Local") в C# можно узнать так:
string way_local = Environment.GetFolderPath(Environment.SpecialFolder.LocalApplicationData)
Тогда уж "%LocalAppData%\..\".
Спасибо за статью.
А вот решение есть уже готовое www.nirsoft.net/utils/chromepass.html — позволяет сохранить пароли, например в текстовый файлик.
А вот решение есть уже готовое www.nirsoft.net/utils/chromepass.html — позволяет сохранить пароли, например в текстовый файлик.
Выходит, что любая программа может подключится к базе SQLite, в которой хранятся пароли, расшифровать их (так как ключ един) и передать на сервер злоумышленника. В чем же заключается тогда безопасность?
Понимаю, что в моем ходе мыслей где-то допущена ошибка, прошу на неё указать.
Или ошибки все же нету, и единственная защита это фаервол?
Понимаю, что в моем ходе мыслей где-то допущена ошибка, прошу на неё указать.
Или ошибки все же нету, и единственная защита это фаервол?
Вся прелесть DPAPI в том, что ключ слишком сложен, чтобы его подобрать, а алгоритм шифрования, на сколько мне известно, без дыр.
Вы правы — любая программа может прочитать БД с паролями. И расшифровать может. Но только, если эта программа выполняется на компьютере, где Хром создал этот файл. Если же у Вас просто украдут файл, то смогут прочитать только логины и сайты, где Вы регистрировались. Но пароли Ваши они получить не смогут.
Идеальной защиты нет. Просто будьте осторожны в плане того — что Вы запускаете — тогда проблем не будет.
Для заметки — FireFox, в отличии от Хрома, не привязан так к машине. Как и Opera. Но у FF и Opera есть возможность ставить мастер-ключ, тогда придется злоумышленнику подбирать его (при сложном ключе — это практически невозможно). Но мастер ключ может быть украден у Вас кейлогером. Так что опять же повторюсь — запускайте приложения из проверенных источников.
Вы правы — любая программа может прочитать БД с паролями. И расшифровать может. Но только, если эта программа выполняется на компьютере, где Хром создал этот файл. Если же у Вас просто украдут файл, то смогут прочитать только логины и сайты, где Вы регистрировались. Но пароли Ваши они получить не смогут.
Идеальной защиты нет. Просто будьте осторожны в плане того — что Вы запускаете — тогда проблем не будет.
Для заметки — FireFox, в отличии от Хрома, не привязан так к машине. Как и Opera. Но у FF и Opera есть возможность ставить мастер-ключ, тогда придется злоумышленнику подбирать его (при сложном ключе — это практически невозможно). Но мастер ключ может быть украден у Вас кейлогером. Так что опять же повторюсь — запускайте приложения из проверенных источников.
Все таки это печально, я думал гугл лучше подходит к безопасности. В настройках синхронизации можно указать мастер пароль, я так понял он участвует только в момент синхронизации, а для локального хранения не используется.
Честно сказать — здесь использована неплохая схема защиты. Достаточная, чтобы сохранить пароли в целости и сохранности при аккуратном пользованием компьютером.
Да — тот пароль он является ключом для синхронизации паролей. Чтобы Вы, сев за новый компьютер, введя свой gmail и пароль, а затем мастер-пароль — получили пароли и другие данные на новый браузер.
Ну а какую систему безопасности Вы хотите видеть? Чтобы что то зашифровать — нужен ключ, если ключа нет, то имея алгоритм, которым шифровали БЕЗ ключа можно спокойно узнать исходный текст на любом другом компьютере с подобной программой. Ключ может хранится в компьютере, а может получаться извне (например ввод мастер-ключа с клавиатуры, или USB-ключи). Не знаю как дела обстоят с USB ключами, но ввод ключа с клавиатуры можно перехватить кейлогером (как я писал выше), а можно и просто подсмотреть.
Гугл хорошо подошел к безопасности. Тут сама структура работы Windows не дает шанса убрать возможность таких бэкапов. Если бы каждой программе отводилось бы личное пространство памяти, в которое никто, кроме неё, не имел бы доступа, то тогда такой топорный метод не прокатил бы, но наверняка нашелся бы другой метод…
Да — тот пароль он является ключом для синхронизации паролей. Чтобы Вы, сев за новый компьютер, введя свой gmail и пароль, а затем мастер-пароль — получили пароли и другие данные на новый браузер.
Ну а какую систему безопасности Вы хотите видеть? Чтобы что то зашифровать — нужен ключ, если ключа нет, то имея алгоритм, которым шифровали БЕЗ ключа можно спокойно узнать исходный текст на любом другом компьютере с подобной программой. Ключ может хранится в компьютере, а может получаться извне (например ввод мастер-ключа с клавиатуры, или USB-ключи). Не знаю как дела обстоят с USB ключами, но ввод ключа с клавиатуры можно перехватить кейлогером (как я писал выше), а можно и просто подсмотреть.
Гугл хорошо подошел к безопасности. Тут сама структура работы Windows не дает шанса убрать возможность таких бэкапов. Если бы каждой программе отводилось бы личное пространство памяти, в которое никто, кроме неё, не имел бы доступа, то тогда такой топорный метод не прокатил бы, но наверняка нашелся бы другой метод…
А какой механизм реализован в расширении LastPass по сравнению с Хромовским?
Честно — до Вас я ещё не слышал об этом расширении :)
Так что, как минимум, спасибо за информацию. Разгребу немного сессию и постараюсь узнать как, в каком виде и чем шифрует LastPass. На первый взгляд поверхностный — там TDES и мастер ключ. Но DES может быть и разным там… Сам DES может работать в 4 режимах и ещё и TDES может в 3 режимах. Так что надо будет ещё покрутить их комбинации. Ведь если выйти за рамки стандарта — это уже серьезный шаг к защите. Даже если этот шаг за рамки — мизерный, который никак не повлияет на криптостойкость в общем. Главное — он вышел из стандарта. И уже нельзя просто нагуглить «TDES» любому школьнику, вставить криптотекст, ключ и получить результат.
Ещё раз спасибо за подброшенную информацию. Обязательно подробно рассмотрю и постараюсь написать топик, ну или тут отвечу на Ваш комментарий, если мало чего найду.
Так что, как минимум, спасибо за информацию. Разгребу немного сессию и постараюсь узнать как, в каком виде и чем шифрует LastPass. На первый взгляд поверхностный — там TDES и мастер ключ. Но DES может быть и разным там… Сам DES может работать в 4 режимах и ещё и TDES может в 3 режимах. Так что надо будет ещё покрутить их комбинации. Ведь если выйти за рамки стандарта — это уже серьезный шаг к защите. Даже если этот шаг за рамки — мизерный, который никак не повлияет на криптостойкость в общем. Главное — он вышел из стандарта. И уже нельзя просто нагуглить «TDES» любому школьнику, вставить криптотекст, ключ и получить результат.
Ещё раз спасибо за подброшенную информацию. Обязательно подробно рассмотрю и постараюсь написать топик, ну или тут отвечу на Ваш комментарий, если мало чего найду.
В fox круче, до сих пор. Можно перенести папку профиля на другую машину, и фф даже не заметит что поменялся компьютер. Все сайты включая google, facebook, vk будут думать что вы в системе. Ну и соответственно все пароли в открытом виде выдаст.
А еще лирическое отступление если у жертвы был а настроена синхронизация через фф то отныне ваши фф будут синхронно обновляться. Т.е. вы будет получать доступ к новым данным.
А еще лирическое отступление если у жертвы был а настроена синхронизация через фф то отныне ваши фф будут синхронно обновляться. Т.е. вы будет получать доступ к новым данным.
Ну смотря что понимать под понятием «круче».
Круче будет пользователю, которого не интересует информационная безопасность, а интересует исключительно удобство пользования. Купил ноутбук, скопировал со стационарного папку — всё.
Круче злоумышленнику, который вшив в очередной keygen/crack тупой скрипт архивирования в архив папки профиля и отправки её на ftp/mail.
Если всё же хочется безопасности — стоит использовать браузеры с мастер-ключами (это уже добавит дополнительную сложность злоумышленнику. Скорее придется использовать кейлогер, а это значит, что полностью автоматизировать процесс, к примеру, сбора и продажи аккаунтов вконтакте, уже не получится — придется смотреть логи кейлогера и искать в нем пароль и вскрывать им зашифрованный контейнер), либо отказаться от использования функции хранения паролей и записывать их на бумажку :P
Хром, по моему мнению, немного сложнее фф, но тем не менее крайне уязвим, так как если есть возможность запустить программу даже не из под учетки админа, то можно без проблем расшифровать все пароли.
Круче будет пользователю, которого не интересует информационная безопасность, а интересует исключительно удобство пользования. Купил ноутбук, скопировал со стационарного папку — всё.
Круче злоумышленнику, который вшив в очередной keygen/crack тупой скрипт архивирования в архив папки профиля и отправки её на ftp/mail.
Если всё же хочется безопасности — стоит использовать браузеры с мастер-ключами (это уже добавит дополнительную сложность злоумышленнику. Скорее придется использовать кейлогер, а это значит, что полностью автоматизировать процесс, к примеру, сбора и продажи аккаунтов вконтакте, уже не получится — придется смотреть логи кейлогера и искать в нем пароль и вскрывать им зашифрованный контейнер), либо отказаться от использования функции хранения паролей и записывать их на бумажку :P
Хром, по моему мнению, немного сложнее фф, но тем не менее крайне уязвим, так как если есть возможность запустить программу даже не из под учетки админа, то можно без проблем расшифровать все пароли.
Sign up to leave a comment.
Хранение паролей в Chrome