ปลั๊กอิน / เบราว์เซอร์สามารถเข้าถึงรหัสผ่านของฉันได้หรือไม่?

10

มันกลายเป็นกรณีที่ส่วนขยายและปลั๊กอินของเบราว์เซอร์จำนวนมากต้องการการเข้าถึง "ข้อมูลของฉันทั้งหมด" (ทั้งใน Chrome และ Firefox; ฉันจะไม่แสดงความคิดเห็นบน Internet Explorer)

ฉันสงสัยว่ามันเป็นไปได้สำหรับปลั๊กอินและส่วนเสริมเหล่านี้ในการเข้าถึงข้อมูลธนาคารของฉัน (ตัวอย่าง) เมื่อฉันเยี่ยมชมหรือเข้าถึงข้อมูลที่ส่งผ่านแบบฟอร์ม

ความหมายของความปลอดภัยของแอดออนคืออะไร?

firefox  google-chrome  security  browser-addons 
FloatingRock
แหล่งที่มา

คำตอบ:

17

โพสต์นี้ใช้กับ Firefox และ Chromium / Google Chrome เท่านั้น ฉันไม่สามารถแสดงความคิดเห็นใน Internet Explorer, Opera หรือเบราว์เซอร์มือถือ ยิ่งไปกว่านั้นคณิตศาสตร์ของฉันอาจผิดไปด้วย แต่ความคิดพื้นฐานนั้นถูกต้อง

แน่นอนว่าเป็นไปได้ แต่ในกรณีของ Firefox และ Chrome / Chromium ไม่น่าเป็นไปได้

รหัสผ่านของฉัน (ซึ่งเก็บไว้ในเบราว์เซอร์) ปลอดภัยหรือไม่

คำตอบนี้เป็นหนึ่งในรายการโปรดของฉัน: ขึ้นอยู่กับ รหัสผ่านที่เบราว์เซอร์บันทึกไว้จะต้องตอบสนองสิ่งสำคัญอย่างหนึ่งและจากมุมมองด้านความปลอดภัยฝันร้ายเงื่อนไข: พวกเขาต้องเป็นข้อความธรรมดาหรือย้อนกลับเป็นข้อความธรรมดา

Plaintext vs. Encrypted vs. Hashed

เหตุใดจึงไม่ดี ลองนึกภาพใครบางคนบุกเข้าไปในเซิร์ฟเวอร์และขโมยฐานข้อมูลรหัสผ่าน มีสองผลลัพธ์ที่เป็นไปได้:

  1. รหัสผ่านเป็นข้อความธรรมดา (หรือย้อนกลับได้ง่าย) ดังนั้นแครกเกอร์สามารถเข้าถึงบัญชีทั้งหมดได้อย่างสมบูรณ์
  2. รหัสผ่านจะถูกแฮช (หรือเข้ารหัส) การโจมตีแบบบังคับด้วยเดรัจฉานต่อแฮชจะจำเป็นในการรับรหัสผ่านและการเข้าถึงบัญชี แม้ตอนนี้ชื่อผู้ใช้และรหัสผ่านของคุณจะถูกขโมยบัญชีของคุณยังปลอดภัย

เนื่องจากเบราว์เซอร์จะต้องสามารถส่งรหัสผ่านไปยังเว็บไซต์จึงไม่สามารถแฮรหัสผ่านจึงสามารถเข้ารหัสได้เท่านั้น(หรือเก็บไว้เป็นข้อความธรรมดา) นี่คือสิ่งที่เราควรคำนึงถึงเสมอ (เช่นเดียวกันกับไคลเอนต์อีเมลแอปพลิเคชันการแชทและอื่น ๆ )

เพียงเพราะมันถูกเข้ารหัสไม่ได้หมายความว่าปลอดภัย

Firefox โดยค่าเริ่มต้นอนุญาตให้คุณบันทึกรหัสผ่าน นอกจากนี้ยังจะเข้ารหัสพวกเขา เช่นเดียวกับ Chromium (ดูภาคผนวก"ก็ขึ้นอยู่กับ ... " ) ปัญหานี้คือกุญแจสำคัญในการถอดรหัสจะถูกเก็บไว้ด้วยรหัสผ่าน วิธีนี้ทำให้การเข้ารหัสไม่สะดวกเล็กน้อยสำหรับคนที่ต้องการรหัสผ่านของคุณและไม่หยุดพวกเขาในทางใดทางหนึ่ง

จากนั้นอย่าเก็บกุญแจด้วยรหัสผ่าน!

ถูกต้องเพื่อให้รหัสผ่านปลอดภัยยิ่งขึ้นเราจำเป็นต้องเอากุญแจออกจากรหัสผ่านที่เข้ารหัส สิ่งนี้ทำได้ใน Firefox โดยการตั้งค่ารหัสผ่านหลักซึ่งจะใช้ในการเข้ารหัสและถอดรหัสรหัสผ่านทั้งหมดของคุณ ด้วยการใช้เทคนิคนี้คุณจะแยกกุญแจออกจากข้อมูลที่เข้ารหัสซึ่งเป็นความคิดที่ดีเสมอ (หลังจากนั้นคุณไม่ได้เก็บกุญแจประตูหน้าไว้ที่ตะขอด้านหน้าของประตูด้านนอกใช่ไหม)

รหัสผ่านนั้นปลอดภัยเท่าที่คุณทำ

ดังนั้นผมไม่บอกว่าทำไมก่อนหน้านี้ว่ารหัสผ่านของคุณอยู่ในขณะนี้ที่ปลอดภัยและไม่ปลอดภัย ? เพราะตอนนี้ความปลอดภัยของรหัสผ่านของคุณขึ้นอยู่กับรหัสผ่านที่คุณเลือก นั่นคือรหัสผ่าน "asdf" ไม่ควรถูกมองว่าปลอดภัย แต่อย่างใด ไม่ใช่ "12345" รหัสผ่านที่ดีนั้นยาวเพราะการบังคับให้เดรัจฉานใช้เวลานานพอสมควร รหัสผ่าน "VioletIsAnotherColor" มีความปลอดภัยทางเทคนิคมากกว่า "D0! l4riZe" เนื่องจากความยาวแม้ว่าที่สองจะมีอักขระพิเศษ ลองดูสั้น ๆ ว่า

"VioletIsAnotherColor"
ความยาว: 20
ตัวละครที่เป็นไปได้: 52 (26 ตัวพิมพ์เล็ก + 26 ตัวพิมพ์ใหญ่)

"D0! l4riZe"
ความยาว: 9
ตัวละครที่เป็นไปได้: 77 (26 ต่ำกว่า + 26 สูง + 26 หลัก + 10 พิเศษ + 15 พิเศษ)
พิเศษ:! "@ $% & / () =? * + # -

ดังนั้นเราต้องพยายามแบ่งรหัสผ่านเหล่านี้กี่ครั้งเพื่อทราบชุดอักขระและความยาว

"VioletIsAnotherColor"
52 20 = ~ 20 decillion (~ 2 × 10 34 )

"D0! l4riZe"
77 9 = ~ 95 quadrillion (~ 9 × 10 16 )

อย่างที่เราเห็นรหัสผ่านหลังแม้จะมีชุดอักขระที่กว้างกว่าก็ง่ายต่อการใช้กำลังดุร้ายกว่ารหัสที่มีความยาว จำกัด นี่เป็นเพราะความยาว (หัวกลับหางอีกอันหนึ่งคืออันแรกนั้นง่ายต่อการจดจำ) ดูคำถาม IT Security สำหรับรายละเอียดในเรื่องนี้

ดังนั้นถ้าเป็นไปได้ใช้รหัสผ่านไม่รหัสผ่าน

กลับไปที่หัวข้อรหัสผ่านของฉันปลอดภัยจากการปลอมแปลง addon?

พวกเขาไม่. เนื่องจาก addons มีการเข้าถึงเว็บไซต์ที่คุณเพิ่งเยี่ยมชม พวกเขาสามารถดึงข้อมูลจากมันรวมถึงรหัสผ่านที่ป้อน Addons มีความเสี่ยงด้านความปลอดภัยเช่นซอฟต์แวร์ที่ติดตั้งอื่น ๆ ติดตั้งเฉพาะส่วนเสริมที่คุณไว้วางใจ

ที่ดี! ฉันจะรู้ได้อย่างไร

ติดตั้งส่วนเสริมเฉพาะจากแหล่งที่คุณเชื่อถือ สำหรับ Firefox เป็นหน้า AddOnsและ Chromium เป็นChrome เว็บสโตร์หรือหากคุณเชื่อถือผู้เขียน / ผู้จัดจำหน่าย รับประกันได้ว่า AddOns ทั้งสองจะถูกตรวจสอบและปลอดภัย

ไม่ว่าจะเป็นหน้า Mozilla AddOnsหรือChrome เว็บสโตร์รับประกันในทางที่ Addon นั้นปลอดภัย พวกเขาใช้กระบวนการตรวจสอบอัตโนมัติซึ่งอาจหรืออาจติดกับแอดออนที่เป็นอันตราย ในตอนท้ายของวันยังมีความเสี่ยงที่เหลืออยู่

ติดตั้งส่วนเสริมจากแหล่งที่คุณเชื่อถือเท่านั้น

รอสักครู่; คุณเพิ่งพูดถึงซอฟต์แวร์ที่ติดตั้งอื่น ๆ

แน่นอน! ไม่มีสิ่งใดขัดขวางซอฟต์แวร์ที่ติดตั้งอื่น ๆ จากการคว้ารหัสผ่านของคุณจากเบราว์เซอร์ทำการโจมตีแบบคนกลางหรือแม้กระทั่งให้บริการพร็อกซีที่ปลอมแปลงเว็บไซต์ธนาคารของคุณ เช่นเดียวกันกับ Browser Plugins กฎง่ายๆคือ: อย่าติดตั้งซอฟต์แวร์ที่คุณไม่สามารถเชื่อถือได้

ข้อสรุป

คุณจะเอาอะไรไปจากสิ่งนี้

  • อย่าติดตั้งซอฟต์แวร์ / ปลั๊กอิน / ส่วนเสริมที่คุณไม่เชื่อถือ
  • หากคุณยังสงสัยอยู่ให้ตั้งรหัสผ่านหลัก
  • หากยังมีข้อสงสัยอย่าไว้ใจเบราว์เซอร์ของคุณด้วยรหัสผ่านอย่าบันทึกไว้
  • หากยังมีข้อสงสัยอย่าติดตั้งส่วนเสริมหรือปลั๊กอินใด ๆ
  • หากยังมีข้อสงสัยให้ใช้ระบบจริงที่ไม่สามารถแก้ไขได้

ภาคผนวก: "ก็ขึ้นอยู่กับ ... "

เมื่อฉันได้เรียนรู้สมมติฐานของฉันในวรรคนี้ไม่ถูกต้อง 100% และฉันต้องการแก้ไข ข้อมูลต่อไปนี้ใช้กับการจัดเก็บรหัสผ่านบนดิสก์เท่านั้น

Google Chrome / Chromium

มันจะบันทึกรหัสผ่านของคุณในลักษณะที่ปลอดภัยบนดิสก์ขึ้นอยู่กับระบบปฏิบัติการที่ทำงานอยู่:

Microsoft Windows

Microsoft Windows API CryptProtectData/ CryptUnprotectDataใช้ในการเข้ารหัส / ถอดรหัสรหัสผ่าน API นี้ใช้งานได้กับรหัสผ่านบัญชี OS ของคุณดังนั้นจึงปลอดภัยเช่นเดียวกับรหัสผ่านนั้น

MacOS

เลเยอร์สำหรับ MacOS สร้างคีย์สุ่มตามรหัสผ่านของพวงกุญแจของผู้ใช้ปัจจุบันและเพิ่มคีย์นั้นลงในพวงกุญแจ อีกครั้งนี้มีความปลอดภัยเท่ากับรหัสผ่านของผู้ใช้

ลินุกซ์

อืม ... อย่าพูดถึงมัน

โอเคถ้าคุณต้องรู้มันก็ทำในสิ่งที่ฉันคิดเอาไว้: มันเก็บข้อมูลด้วยรหัสผ่านแบบฮาร์ดโค้ด เหตุใดจึงเป็นเช่นนี้ เพียงเพราะไม่มีโครงสร้างพื้นฐานทั่วไปในการจัดการข้อมูลที่เข้ารหัสในทางไปยังอีกสองระบบ ไม่ฉันไม่ได้พูดเพียงว่า Linux ขาดระบบการเข้ารหัสหรือความปลอดภัย มีมากมายของพวงกุญแจ / พวงกุญแจและที่เก็บรหัสผ่านโซลูชั่นที่มีอยู่ใน userspace ดูเหมือนว่านักพัฒนา Chrome ตัดสินใจที่จะไม่ใช้หนึ่งในนั้น "ทำไม?" ไม่ใช่คำถามที่ฉันสามารถตอบได้

Firefox

ใช้รหัสที่สร้างขึ้นซึ่งเก็บไว้ข้างรหัสผ่านเสมอ ข้อยกเว้นคือถ้าคุณตั้งรหัสผ่านหลักแล้วจะใช้รหัสนี้เช่นกัน

บ๊อบบี้
แหล่งที่มา
พูดคุยเกี่ยวกับความประณีต นั่นเป็นคำตอบที่โค้งมนที่สุดที่ฉันเคยเห็น! ขอบคุณ @ บ๊อบบี้
FloatingRock
ตระหนักว่าในขณะที่ Chrome ช่วยให้คุณสามารถ จำกัด การเข้าถึงสำหรับปลั๊กอินบางส่วนตาม URL, Firefox ไม่ได้ใด ๆ addon Sandboxing / สิทธิ์
FloatingRock
2
@Bobby - เกี่ยวกับVioletIsAnotherColorvs ของคุณD0!l4riZeสำหรับความแข็งแรงของรหัสผ่าน คนแรกในทางเทคนิคเป็นแข็งแกร่ง ... เมื่อคุณกำลังใช้การโจมตีแรงเดรัจฉาน อย่างไรก็ตามการโจมตีอีกประเภทหนึ่งคือการโจมตีด้วยพจนานุกรมซึ่งผู้โจมตีต้องดำเนินการอย่างเป็นระบบแทนที่จะใช้ตัวอักษรและตัวเลขสุ่มคำศัพท์ในพจนานุกรมและการรวมกันของคำเหล่านั้น VioletIsAnotherColorสามารถถอดรหัสได้ภายใน ~ 1.2 พันล้านความเป็นไปได้ เพียงเพื่อเป็นเทคนิคและทั้งหมด แต่ก็น่าสังเกต (+1 ต่อไป btw) :)
Cullub
@cullub คุณจะไปถึง 1 พันล้านความเป็นไปได้อย่างไร แม้ว่าฉันจะถือว่าพจนานุกรม "เล็ก" ที่มีเพียง 60k รายการฉันมาถึงที่ 1.2 * 10 ^ 19 และนั่นไม่ได้อธิบายถึงความผิดพลาดการสะกดบน / ล่างและที่เป็นไปได้
Bobby
1
โอ๊ะขอบคุณ - ดูเหมือนฉันจะอ่านตัวเลขผิด ถึงกระนั้นฉันก็จบลงด้วย ~ 1.2 * 10 ^ 21 นั่นไม่ได้คำนึงถึงการใช้อักษรตัวพิมพ์ใหญ่อย่างที่คุณพูด แต่มันมีคำทุกคำในภาษาอังกฤษค่อนข้างมากรวมถึง 50,000 คำที่ล้าสมัย (รวม 200,000 ~) ฉันคิดว่ามันยังปลอดภัยกว่าตัวอักษร / ตัวเลขสุ่มนั้นยกเว้นว่าผู้โจมตีฉลาดและใช้คำทั่วไปมากขึ้น การใช้อักษรตัวพิมพ์ใหญ่ไม่ใช่เรื่องใหญ่เพราะรหัสผ่านส่วนใหญ่จะไม่ได้รับตัวพิมพ์ใหญ่ - camelCase, WordCaps และ alllowercase จะครอบคลุมมากที่สุด
Cullub
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.