web-dev-qa-db-ja.com

Chromeパスワードの保存は安全ですか?

ログインを新しいサイトに入力するたびに、Chromeにログインの詳細を保存するかどうか尋ねられます。これはかなり安全であると以前は思っていました。誰かが私のコンピュータのロックが解除されているのを発見した場合、彼らはパススルーする可能性があります保存された詳細を使用する一部のWebサイトのログイン画面。ただし、チェックアウト時などにパスワードを再度要求された場合、または別のデバイスからサービスにログインしたい場合は、うまくいきません。

少なくとも、私はブラウザがパスワード自体を格納するのではなく、ハッシュまたはパスワードの暗号化を格納していると私が思っていたときにそれを考えていました。ブラウザがユーザー名とパスワードのフィールドに入力し、パスワードフィールドがパスワードの文字数を示すことに気づきました。

私は自分のパスワードを変更するように求められたとき、同じパスワードを保持するだけで、最後に番号を変更する人々の1人です。これは悪いことですが、パスワードを変更するように求められる頻度が非常に高いため、予想されるパスワードの数を本当に思い出せませんでした。これにより、多くのパスワードが同じになりますが、特定のログインで必要な終了番号を忘れることがあります。

特定のログインの終了番号を思い出せなかったため、パスワードが保存されているWebサイトにアクセスしました。私は最後の2つの文字を削除し、別の数字とビオラを試してみました。正しい末尾の数字を知っていました。

これは根本的なセキュリティ上の欠陥であるように私には思えます。他の何もチェックせずにパスワードの最後の文字をチェックできる場合、パスワードを解読するために必要な試行回数は、指数関数的にではなく文字数とともに直線的に増加します。ロックが解除されているときに誰かが私のコンピュータに来た場合、簡単なスクリプトで、パスワードが保存されているすべての主要なWebサイトのすべての保存されたパスワードを抽出できると言うのは、そこから少し離れたようです。

これはそうではありませんか?これを防ぐ他のセキュリティ層はありますか?

132
Tony Ruth

Chromeはパスワードテキストを保存するだけでなく、それを表示します。 [設定]-> [詳細設定]-> [パスワードの管理]で、すべてのサイトのすべてのパスワードを見つけることができます。それらのいずれかで[表示]をクリックすると、クリアテキストで表示されます。

ハッシュ化されたパスワードは、サイトを認証するために機能します。これらはパスワードマネージャのオプションではありません。多くはローカルでデータを暗号化しますが、マスターパスワードの設定がない限り、キーもローカルに保存されます。

個人的には、chrome=パスワードマネージャーを使用していますが、便利だと思います。ただし、フルディスク暗号化を使用し、画面を入念にロックします。これにより、リスクが合理的に高くなります。

覚えやすいパスワードを選択することと、パスワードマネージャーを使用することの両方が一貫していないようです(多くはそうです)。そして、私はあなたがパスワードや少なくともテーマを多くのサイトで繰り返してもよいと思うかもしれません。これはあなたに両方の世界で最悪のものを与えます。あなたは利点なしでパスワードマネージャのリスクを取得します。

信頼できるパスワードマネージャーを使用すると、各サイトにまったく思い出せない一意のランダムパスワードを与え、非常に実際の攻撃ベクトルから多くの保護を得ることができます。パスワードマネージャの単一障害点と引き換えに。完璧ではないパスワードマネージャーを使用しても、これは不当なトレードオフではありません。適切なパスワードマネージャを使用することで、これはコンセンサスのベストプラクティスになりつつあります。

追加する編集: Henno Brandsma 回答をお読みください。ログインパスワードとOSサポートを使用してパスワードを暗号化する方法を説明します。これにより、コンピューターがオフ/ロックされている場合(フルディスク)に、パスワードを適切なレベルで保護できます。暗号化の方が優れています)。コンピュータのロックを解除したままにしても、あまり役に立ちません。ブラウザがプレーンテキストのデバッグツールを表示するためにパスワードを要求する場合でも、@ Darren_Hコメントとして既に入力されているパスワードを表示できます。以前の推奨事項では、ランダムな一意のパスワードとパスワードマネージャを使用しています。

141
Meir Maor

Chrome(Windowsの場合)は、保存時にパスワードを暗号化します。ただし、ログインパスワードを知っている(またはログインセッションをハイジャックする)人物だけが、保存されているパスワードを実際に使用または表示できるようになっています。これは十分に文書化されています(これはいわゆるデータ保護API(DPAPI)を使用します。これはWindowsのNT 5.0(つまりWindows 2000)以降にあり、現在ではAES-256を使用してパスワードデータを暗号化しています)。ログイン全体と同じレベルの保護があるため、Googleはこれで十分なセキュリティであると考えています。 MacまたはLinuxでは、ネイティブキーチェーンテクノロジーを使用して特別なChromeマスターパスワードを保護し、基本的に同じ効果を達成します。詳細については、ソースを読んでください...

EdgeとIE(もちろんWindowsでのみ利用可能)も、このテクノロジを使用します。BTWは、Windowsの最近のバージョン(および以前は、レジストリ)DPAPIの詳細については、 ここ を参照してください。例:.

ログイン資格情報を知っているユーザーが保存されたパスワードデータを抽出する方法の例については、 https://github.com/byt3bl33d3r/chrome-decrypter を参照してください。

83
Henno Brandsma

パスワードを再利用しないでください!

Firefoxでは、実際に保存されているパスワードが表示されないように保護するマスターパスワードを設定できます。このマスターパスワードは、ブラウザがパスワードの入力を開始する前に、セッションごとに1回必要になります。

Keepass などの汎用パスワードマネージャーを使用することもできます。

とにかく、ほとんどの人にとって、1つのサイトがハッキングされたためにパスワードを失う危険は、自分のコンピューターでそれを失うよりも大きいです。これは、コンピュータにアクセスできる攻撃者が他の多くのオプションを使用して攻撃するためです。パスワードマネージャーを使用する主な利点の1つは、手動でパスワードを入力する必要がなくなるため、完全にランダムで安全なパスワードを選択できることです。

しばらくパスワードを再利用している場合は、より顕著な違反のいくつかをチェックして影響を受けているかどうかを確認するためのきちんとしたサイトがあります: https://haveibeenpwned.com/

多くの異なるマシンを使用する必要がある場合は、携帯電話で Keepass2Android のようなものを使用することを検討できます。

29
Elias

Chrome=でパスワードを表示することもできます。HTMLを変更します。入力フィールドのタイプを「テキスト」に変更すると、事前に入力された情報がプレーンテキストで表示されます。あなたが登録しているウェブサイトを知っており、Chromeはあなたのパスワードを自動入力します。彼らはそれを見ることができます。

7
Teun

Chromeはパスワードダンプに対して脆弱です。 Chromeパスワードをダンプするツールはたくさんあります。LaZagneはその1つです。管理者権限や資格情報などは必要ありません。

どうやら、これはSQLiteデータベースに接続してからWin32CryptUnprotectDataを呼び出してパスワードを復号化するのと同じくらい簡単です。

https://github.com/AlessandroZ/LaZagne

悪意のあるユーザーは、このパスワードダンパーを実行するか、マルウェアをインストールしてから、このツールをリモートで実行できます。ただし、技術者でないユーザーはこのタスクを実行できません。したがって、ブラウザにパスワードを保存することは、技術者以外の人には安全ですが、マルウェアや技術ユーザーには効果がありません。

6
Daniel Grover

最大の危険は、マスターパスワードなしでブラウザーを使用し、コンピューターをロックせずに放置することです。だれでも、保存されているパスワードの写真をすぐに撮ることができ、数秒しかかかりません。したがって、明白です:常にコンピューターをロックしてマスターパスワードを設定し、パスワードや同様のパターンを再利用しないでください...

3

それはあなたのプラットフォームに依存します。

Linuxの場合Chromeは、KDEまたはgnome-keyringを使用して、KDEまたはgnome-keyringを使用します。どちらも優れたセキュリティを提供します。OSXの場合、OSXキーリングを使用します。これは、セキュリティも優れています。Windowsでは、独自のパスワードストレージを実装します。これは、他のOSのシステムキーリングほど安全ではありません。

Windows実装の特定の弱点については、他の回答を参照してください。

1
allo

100%安全なメカニズムはありませんが、他のメカニズムよりも安全なメカニズムもあります。最も単純なレベルでは、長いパスワードは短いパスワードより安全ですが、覚えて正しく入力することはより困難です。安全性と使いやすさのバランスがどこにあるかを決める必要があります。コストとリスクの比率が適切だと思えば、パスワードマネージャーがその答えの1つです。

コンピューターにパスワードを保存するメカニズムを信頼していない場合、これを回避する1つの方法は、アルゴリズムを使用して、必要になるたびにパスワードを生成することです。 Playfairのバリアントを実装する小さなプログラム( https://en.wikipedia.org/wiki/Playfair_cipher )を使用して、特定のサイトのパスワードの一部を生成します-これには利点があります必要に応じて手動で作成できること。ただし、単純なアルゴリズム(Webサイトの文字を逆にするだけなど)は避けてください。

多くの企業では、定期的にパスワードを変更する必要があります。以前はこれが標準でしたが、GCHQは今では慣習に反対するようアドバイスします( https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry を参照)。あなたが言及する理由。うまくいけば、この要件は時間の経過とともに一般的ではなくなります。

0
John Denniston

ログイン中に誰かがラップトップにアクセスすることを心配している場合(たとえば、職場や公共の場所でラップトップを使用していて、時々無防備にしておく場合や、家族を信用していない場合)、パスワードをブラウザーに保存します。良い解決策ではありません。コンピューター上のマルウェア(入力をキャプチャする可能性があります)または入力したものを見る人々が心配している場合、それはかなり安全であり、それらはより一般的な懸念事項です。

0
Tgr