ตัวอย่างเช่น Opera มีคุณสมบัติ "คัน" ที่จดจำชื่อผู้ใช้และรหัสผ่านที่คุณพิมพ์ในเว็บไซต์ต่างๆ
สมมติว่าคุณได้รับโทรจันซึ่งขโมยข้อมูลจากพีซีของคุณ โทรจันสามารถถอดรหัสรหัสผ่านที่จัดเก็บโดยเบราว์เซอร์และใช้งานได้หรือไม่
ตัวอย่างเช่น Opera มีคุณสมบัติ "คัน" ที่จดจำชื่อผู้ใช้และรหัสผ่านที่คุณพิมพ์ในเว็บไซต์ต่างๆ
สมมติว่าคุณได้รับโทรจันซึ่งขโมยข้อมูลจากพีซีของคุณ โทรจันสามารถถอดรหัสรหัสผ่านที่จัดเก็บโดยเบราว์เซอร์และใช้งานได้หรือไม่
คำตอบ:
คะแนนที่ระบุไว้ในคำตอบของ Bob นั้นใช้ได้ทั้งหมดดังนั้นฉันจะไม่รบกวนพวกเขาซ้ำ อย่างไรก็ตามฉันคิดว่าข้อมูลเพิ่มเติมเล็กน้อยอาจมีประโยชน์สำหรับบางคนเนื่องจากคำถามของคุณเป็นข้อกังวลที่ถูกต้อง
ฟีเจอร์ Wand ของ Opera อนุญาตให้คุณระบุความถี่ในการถามรหัสผ่านหลักของคุณPreferences > Advanced > Security > Ask for passwordด้วยตัวเลือกเช่น "หนึ่งครั้งต่อเซสชัน" (ซึ่ง Bob ชี้ให้เห็นอย่างถูกต้อง จำกัด ความปลอดภัยของคุณ), "ทุก x นาที / ชั่วโมง" อย่ามัวยุ่งกับ.iniไฟล์คุณสามารถปรับแต่งความถี่ของคุณเอง) และ "ทุกครั้งที่ต้องการ" (เห็นได้ชัดว่าตัวเลือกที่ปลอดภัยที่สุดเนื่องจากรหัสผ่านของคุณจะไม่ถูกเก็บไว้ในหน่วยความจำระหว่างการเรียกดู) ฉันไม่ได้ใช้ Firefox แต่สามารถจินตนาการได้ว่ามีส่วนขยายที่คล้ายกันในบางที่
ข้อมูล Wand ถูกเก็บไว้ในไฟล์ที่เรียกว่ารอwand.datในรูปแบบที่สามารถถอดรหัสได้ด้วยความพยายามเล็กน้อยหากไม่มีการใช้รหัสผ่านหลัก ถ้าคุณทำใช้รหัสผ่านหลักนั้นจะถูกเข้ารหัสโดยใช้ส่วนประกอบที่สุ่มและรหัสผ่านหลักของคุณด้วยอัลกอริทึมที่กำลังหนีฉัน (ควรจะง่ายที่จะมองขึ้นแม้ว่า)
หากคุณใช้รหัสผ่านสำหรับไซต์ที่ความปลอดภัยมีความสำคัญต่อคุณมากกว่าการเข้าสู่ระบบโดยเฉลี่ยคุณสามารถเลือกที่จะไม่บันทึกรหัสผ่านได้
แท็บส่วนบุคคลใน Opera (หรือเทียบเท่าในเบราว์เซอร์อื่น) ช่วยให้คุณสามารถเก็บข้อมูลเซสชันของแท็บนั้นแยกต่างหากจากแท็บ "ปกติ" ซึ่งอาจเพิ่มความปลอดภัยอีกชั้น
รูปแบบการรักษาความปลอดภัยที่ใช้ใน Chrome และอนุพันธ์ (นั่นคือ sandboxing แต่ละแท็บในเธรดแยกต่างหาก) ช่วยให้คุณปลอดภัยยิ่งขึ้น
คุณสามารถป้องกัน keyloggers และเช่นโดย:
เพื่อสรุป:
ระดับความปลอดภัยของเบราว์เซอร์และการเข้าสู่ระบบของคุณนั้นขึ้นอยู่กับคุณในระดับใหญ่
หากใครบางคนมีทักษะและความชำนาญอย่างมากพวกเขาอาจได้รับข้อมูลของคุณในที่สุดแม้จะมีข้อควรระวังข้างต้นทั้งหมด แต่มันจะทำให้ข้อมูลของเบราว์เซอร์ของคุณปลอดภัยยิ่งขึ้นและจะยกระดับความซับซ้อนที่จำเป็นต่อการถอดรหัส
หากคุณมีมัลแวร์ในคอมพิวเตอร์ของคุณไม่มีรหัสผ่านที่ป้อนหรือเก็บไว้ในนั้นจะถือว่าปลอดภัยอย่างแท้จริง แม้แต่รหัสผ่านที่เข้ารหัสเช่นฐานข้อมูล KeyPass ทันทีที่คุณป้อนรายละเอียดที่จำเป็นในการถอดรหัสผู้โจมตีสามารถเรียกคืนรหัสผ่านของคุณได้
เบราว์เซอร์โดยทั่วไปจะไม่ให้ความสำคัญกับความปลอดภัยของรหัสผ่านที่บันทึกไว้อย่างน้อยก็ไม่ใช่การตั้งค่าเริ่มต้น
สมมติว่าคุณได้รับโทรจันซึ่งขโมยข้อมูลจากพีซีของคุณ โทรจันสามารถถอดรหัสรหัสผ่านที่จัดเก็บโดยเบราว์เซอร์และใช้งานได้หรือไม่
ในคำ: ใช่ เบราว์เซอร์มักจะไม่เข้ารหัสรหัสผ่านที่จดจำดังนั้นจึงสามารถอ่านได้ด้วยความพยายามเล็กน้อย การเข้ารหัสด้วยคีย์ที่จัดเก็บนั้นไม่มีประโยชน์อยู่แล้ว: หากเบราว์เซอร์สามารถถอดรหัสได้โปรแกรมอื่น ๆ ที่ทำงานบนคอมพิวเตอร์เครื่องเดียวกันก็สามารถทำได้เช่นเดียวกัน
ฉันคุ้นเคยกับ Firefox มากที่สุดดังนั้นฉันจะไปด้วย
Firefox อนุญาตให้คุณตั้ง 'รหัสผ่านหลัก' ถ้าคุณทำเช่นนั้นมันจะเข้ารหัสรหัสผ่านที่เก็บไว้ด้วยรหัสผ่านหลัก อย่างไรก็ตามเพื่อความสะดวกคุณจะต้องเข้าสู่ระบบโดยใช้รหัสผ่านหลักนี้หนึ่งครั้งต่อเซสชัน เมื่อคุณเข้าสู่ระบบข้อมูลที่จำเป็นในการถอดรหัสรหัสผ่านที่บันทึกไว้จะถูกเก็บไว้ในหน่วยความจำและสามารถเข้าถึงได้ วิธีที่ปลอดภัยและยุ่งยากกว่านั้นคือต้องพิมพ์รหัสผ่านหลักทุกครั้งที่ Firefox จำเป็นต้องค้นหารหัสผ่านที่บันทึกไว้
แม้ว่ารหัสผ่านที่บันทึกไว้จะถูกเข้ารหัสอย่างสมบูรณ์แบบและไม่สามารถเข้าถึงได้อย่างสมบูรณ์ แต่จะต้องมีการถอดรหัสและป้อนในเว็บฟอร์มในบางจุด ซึ่งหมายถึงการเก็บรหัสผ่านที่ไม่ได้เข้ารหัสในหน่วยความจำ มีจริงค่อนข้างน้อย 'มีเครื่องหมายดอกจัน เผยโปรแกรม' ออกแบบมาเพื่อคว้ารหัสผ่านเหล่านั้นออกของหน่วยความจำและดีเปิดเผยพวกเขา มัลแวร์ในทางทฤษฎีสามารถทำเช่นเดียวกัน
และมัลแวร์ยังสามารถทำการล็อกคุณเพื่อให้ผู้โจมตีสามารถเรียกคืนรหัสผ่านที่คุณพิมพ์ได้
มีการศึกษามากในเชิงลึกของการรักษาความปลอดภัยรหัสผ่านเบราว์เซอร์ที่สำคัญคือ (IE, Chrome, FF) ที่นี่ เพื่อสรุปทั้ง Chrome และ IE10 ต้องอาศัยรูทีนการเข้ารหัสของ Windows ซึ่งถือว่าแข็งแกร่ง อย่างไรก็ตามพวกเขาไม่ได้ป้องกันโปรแกรมอื่น ๆ ที่ทำงานภายใต้ผู้ใช้เดียวกันนั่นคือพวกเขาไม่มีประโยชน์จากมัลแวร์ อีกครั้งโปรแกรมการดำเนินการใด ๆ (ในฐานะผู้ดูแลระบบ) สามารถดึงข้อมูลจากหน่วยความจำหรือโดยการล็อคกุญแจอย่างไรก็ตาม
วิธีการเข้ารหัสเป็นสิ่งสำคัญที่สุดเมื่อคุณพิจารณาถึงความเป็นไปได้ที่จะขโมยข้อมูลที่บันทึกไว้เพื่อการวิเคราะห์ในภายหลังเช่นมีคนแอบเข้ามาและคัดลอกออกหรือขโมยคอมพิวเตอร์ของคุณ โดยทั่วไปเบราว์เซอร์ที่ทันสมัยทั้งหมดทำงานได้ดีในการป้องกันรูปแบบการโจมตี Firefox ที่มีรหัสผ่านที่ดีและแข็งแกร่งเป็นที่ต้องการอีกครั้งเนื่องจากข้อมูลที่เข้ารหัสของ Windows สามารถกู้คืนได้โดยเข้าสู่บัญชีผู้ใช้ Windows และรหัสผ่าน Windows จะไม่ปลอดภัยอย่างสมบูรณ์อีกต่อไป โปรดทราบว่าไม่มีสิ่งใดที่จะหยุดยั้งผู้โจมตีที่เด็ดเดี่ยวได้
NirSoft มีเครื่องมือที่เรียกว่า "IEPassView" ซึ่งสามารถถอดรหัส Internet Explorer 8 และภายใต้รหัสผ่าน ข้อมูลระบบสำหรับ Windows สามารถทำเช่นเดียวกัน; เพียงคลิกที่ปุ่มด้านบน
NirSoft มีเครื่องมือ "กู้คืนรหัสผ่าน" สำหรับเบราว์เซอร์ยอดนิยมจำนวนมาก ( http://www.nirsoft.net/password_recovery_tools.html ) - สิ่งเหล่านี้สร้าง "หลักฐานแนวคิด" ที่ดีเพื่อแสดงว่าการจัดเก็บรหัสผ่านในตัวไม่ปลอดภัย .
Lastpassและซอฟต์แวร์เหมือนเป็นคำตอบที่สะดวกดี แม้ว่าพวกเขาจะไม่ให้ความปลอดภัยทั้งหมด (คุณยังต้องทำพื้นฐานเช่นไฟร์วอลล์, ต่อต้านไวรัส, ฯลฯ ) เป็นวิธีที่ดีในการจัดการรหัสผ่านของคุณ นอกจากนี้เนื่องจากความจริงที่ว่ามันถูกเก็บไว้ในคลาวด์ที่มีมนต์ขลังคุณสามารถเข้าถึงได้จากทุกที่