WebBrowserPassViewからパスワードを保護するにはどうすればよいですか？

あなたは本当にここで間違った質問をしている

本当にあなたが尋ねるべきことは：

ツールを使用してChromeブラウザに保存されているパスワードを確認できることを心配する必要がありますか？

そして、その答えは... Kind of。実際にそれが起こらないようにする最善の方法は、システムを強化しておくことです。誰かがそのデータにアクセスした場合、あなたはすでにすべてを失っています。それは、その時点で彼らがあなたのOS /コンピュータに全体としてアクセスし、彼らが望むことは何でもできるからです。彼らはあなたのブラウザーにアクセスできます。つまり、セッションを簡単に乗っ取り、セッションからサインアウトしなくても、必要なダメージを与えることができます。これは、使用しているパスワードマネージャに関係なく、その時点でブラウザ上で開いているすべてのセッションに当てはまります。

どうして？

Chromeは、パスワードをディスクの暗号化されたユーザー領域に既に保存しているためです。

マスターパスワードを暗号化として実際に使用するのは、OSのすでに暗号化された領域ではなく、セキュリティシアターにすぎません。彼らがあなたのマシンにそのようなアクセスを取得して、とにかくそのファイルを取得できるなら、それは人間に対するゲームオーバーです。システム全体を完全に制御できます。

これを防ぐにはどうすればよいですか？

コンピュータの安全を確保する。信頼できない人にアクセスを貸したり、ロックを解除したままにしたり、脆弱なパスワードを使用したりしないでください。また、立ち去るときにロックを解除したままにしないでください。使用しない場合は、ロックを解除したままにしないでください。

Justin Schuhからの素晴らしい投稿：

私はChromeブラウザのセキュリティ技術リーダーです。そのため、ここで私たちの推論を説明すると役立つかもしれません。パスワードストレージの唯一の強力なアクセス許可の境界はOSユーザーアカウントです。したがって、Chromeは、システムが提供する暗号化ストレージを使用して、ロックされたアカウントのパスワードを安全に保ちます。しかし、それを超えて、OSユーザーアカウント内の境界は信頼できず、ほとんどの場合、劇場。

悪意のある誰かがあなたのアカウントにアクセスするケースを考えてみましょう。悪者は、すべてのセッションCookieをダンプしたり、履歴を取得したり、悪意のある拡張機能をインストールしてすべての閲覧活動を傍受したり、OSユーザーアカウントレベルの監視ソフトウェアをインストールしたりできます。私のポイントは、悪者があなたのアカウントにアクセスすると、ゲームが失われたということです。なぜなら、彼が望むものを得るには彼のベクトルが多すぎるからです。

また、マスターパスワードなどが機能しない場合でも、なぜサポートしないのかという質問も繰り返し寄せられています。私たちは何度もそれについて議論してきましたが、私たちがいつも思っている結論は、ユーザーに誤った安心感を与えたり、危険な行動を奨励したりしたくないということです。誰かにOSユーザーアカウントへのアクセスを許可すると、そのユーザーはすべてを取得できることを明確にしたいと思います。実際には、それが実際に彼らが得るものだからです。

ブラウザーのパスワードストアにパスワードを保存している場合、それらはブラウザーのパスワードストアから読み取ることができますそれを回避する方法はありません。 Nirのツールが機能する理由は、ブラウザメーカーが安全なストレージを適切に考慮しておらず、自分で修正することができないためです。

別の方法は、LastPassなどのブラウザ拡張機能を使用する実際のパスワードマネージャに切り替えることです。 （同じように機能する他のものもありますが、LastPassは私が使用する唯一のものであるため、私が特に記述できるのはそれだけです。）LastPassはマスターパスワードで暗号化されたパスワードを保存するため、サードパーティツールを使用して、それらが格納されているデータベースファイルを読み取る。また、ブラウザーの拡張機能を設定して、コンピューターの使用に最適な間隔でマスターパスワードの再入力を求め、他のユーザーがブラウザーからパスワードボールトを閲覧できないようにする必要があります。

サードパーティのパスワードマネージャーは、理論的には組み込みのストレージメカニズムと同じ問題の一部に対して脆弱ですが、パスワードストレージが主な焦点であるという事実は、通常、より良い仕事をすることを意味します。