web-dev-qa-db-ja.com

ハッカーがブラウザに保存されているパスワードを盗むことは可能ですか?

WindowsXPのパスワードがハッキングされる可能性があるのではないかと思っていました。では、なぜハッカーはブラウザに保存されているパスワードをハッキングできないのでしょうか。

インターネットサーフィン中に、ブラウザに保存されたパスワードを誰かが知ることはできますか?ハッカーがオープンソースコードを持っているブラウザから盗むのは簡単になりますか?

ブラウザに保存されたパスワードを保護するにはどうすればよいですか?

7
subanki

ハッカーがあなたのコンピュータへの管理アクセスを取得した場合、彼は確かにブラウザに保存されているパスワードを盗むことができます。これが、機密性の高いパスワードをブラウザに保存してはならない理由の1つです。

サイトにアクセスしたいときにパスワードを自動的に送信できるようにするには、ブラウザがパスワードをクリアテキストに復号化できる必要があることに注意してください。これがブラウザを最も脆弱にしている理由です。他の多くのシステム(Windowsパスワードを含む)では、実際のパスワードは保存されませんが、代わりに実際のパスワードの 一方向ハッシュ であるため、保存された値を実際のクリアに戻すことは事実上不可能です。 -テキストパスワード。

11
driis

ソースコード部分について:

それについては議論があります。いわゆる「隠すことによるセキュリティ」のアイデアを好む人もいます。その考えの核心は、悪者は自分が攻撃しているシステムがどのように機能するかを知らないということです。したがって、ブラウザの場合、それは彼がソースコードにアクセスできないことを意味します。完璧なシステムでは、隠すことによるセキュリティによってシステムがより安全になります。残念ながら、ブラウザはそのために十分に完璧ではありません。通常、開発チームが気付かず、悪用される可能性のあるバグがあります。

そのため、たとえばFirefoxのようなオープンソースブラウザは別のセキュリティドクトリンを使用しています。彼らの開発者は、ソースコードは公開されるべきだと信じています。これにより、攻撃者はブラウザの動作を知ることができますが、一方で、セキュリティ研究者はバグを見つけて報告し、開発者が修正できるようになります。アイデアは、クラッカーが悪用できる脆弱な場所がないようにブラウザを非常に安全にすることです。脆弱性がない場合、クラッカーがブラウザの動作を知っているという事実は彼らを助けません。

5
AndrejaKo

Internet Explorer:暗号化またはマスターパスワードはありません。
Firefox:暗号化なし、マスターパスワード。
Chrome:暗号化、マスターパスワードなし。

これらのブラウザはすべて、どのように配置しても、コンピュータに物理的またはリモートアクセスできる人なら誰でもハッキングされる可能性があります。

オープンソース化されているブラウザは、セキュリティの議論においてどちらの方向にも進むことができます。一方で、パスワードを暗号化してハッキングする方法を人々が知っているので、それは悪いことです。一方、オープンソースの場合は、より厳密にテストおよび変更されるため、はるかに安全になります。

私の解決策は、適切な暗号化を備えたパスワードマネージャーを使用することです。 Keepass (Windows)と 1Password (Mac)は、最高の暗号化を備えていることで知られています(128ビットのRijndaelですが、KeePassはパスワードをかなりハッシュしているので、技術的にははるかに安全です) 。どちらも実行可能なブラウザ統合を備えており、一般的なサーフィンの目的には問題ないはずです。

3
digitxp

Firefoxでは、保存されたパスワードは誰でも見ることができます [ツール]、[オプション]、[セキュリティ]タブの順に移動し、[保存されたパスワード]をクリックします。次に、「パスワードの表示」をクリックして、出来上がり!ユーザーのすべてのパスワードがあります。はい、マスターパスワードを設定するオプションがあります。ほとんどのユーザーはこれを行わないか、このオプションを認識していません...

1
studiohack