ブラウザのパスワードマネージャーはどのくらい安全ですか?


13

たとえば、Operaには、さまざまなサイトで入力したユーザー名とパスワードを記憶する「ワンド」機能があります。

PCからデータを盗むトロイの木馬を入手したとします。トロイの木馬は、ブラウザで保存されたパスワードを解読し、使用できますか?

回答:


4

ボブの答えに記載されているポイントはすべて有効であるため、繰り返し説明することはありません。ただし、あなたの質問は有効な懸念事項であるため、一部の人にとっては少し追加の情報も役立つと思いました。

  • Operaのワンド機能を使用するとPreferences > Advanced > Security > Ask for password、「セッションごとに1回」(Bobが正しく指摘しているようにセキュリティを制限する)、「毎分x時間」(選択しない場合).iniファイルをいじるのを気にせず、独自の頻度をカスタマイズできます)、および「必要なときはいつでも」(閲覧セッション中にパスワードがメモリに保存されないため、明らかに最も安全なオプションです)。私はFirefoxを使用していませんが、どこかで利用可能な同様の拡張機能があると想像できます。

  • ワンドデータはwand.dat、マスターパスワードが使用されていない場合、比較的少ない労力で解読できる形式で、それを待つというファイルに保存されます。あなたがあれば行うマスターパスワードを使用し、それが現在の私をエスケープするアルゴリズムとランダム成分とマスターパスワードを使用して暗号化された(ただし、ルックアップするために簡単なはずです)。

  • 通常のログインよりもセキュリティが重要なサイトにパスワードを使用する場合、パスワードを保存しないことを選択できます

  • Operaのプライベートタブ(または他のブラウザーの同等のタブ)を使用すると、そのタブのセッションデータを「通常の」タブのセッションデータとは別に保存することができます。

  • Chromeおよびその派生物で使用されるセキュリティモデル(つまり、各タブを個別のスレッドでサンドボックス化する)により、さらに優れたセキュリティが提供されます。

  • キーロガーなどから定期的に保護できます。

    • アンチウイルスおよびファイアウォールソフトウェアの更新。そして
    • パスワードを変更します。

総括する:

  • ブラウザのセキュリティレベルとログインのセキュリティレベルは、大部分あなた次第です

  • 誰かが非常に熟練して機知に富んでいる場合、上記のすべての予防措置にもかかわらず、おそらく最終的にデータに到達する可能性がありますが、それによりブラウザのデータがはるかに安全になり、それをクラックするために必要な高度なレベルが上がります。


22
  • コンピューターにマルウェアがある場合、そのコンピューターに入力または保存されたパスワードはまったく安全とは見なされません。KeyPassデータベースなどの暗号化されたパスワードであっても、解読に必要な詳細情報を入力するとすぐに、攻撃者はパスワードを取得できます。

  • ブラウザーは通常、少なくともデフォルト設定ではなく、保存されたパスワードのセキュリティにあまり注意を払いません。


PCからデータを盗むトロイの木馬を入手したとします。トロイの木馬は、ブラウザで保存されたパスワードを解読し、使用できますか?

つまり、はい。通常、ブラウザーは記憶されたパスワードを暗号化しないため、簡単な読み取りで読み取ることができます。とにかく、保存されたキーを使用した暗号化は無意味です。ブラウザがそれを復号化できれば、同じコンピューターで実行されている他のプログラムも同じことができます。

私はFirefoxに最も精通しているので、それについて説明します。

Firefoxでは、「マスターパスワード」を設定できます。実行すると、保存されたパスワードがマスターパスワードで暗号化されます。ただし、便宜上、セッションごとに1回だけこのマスターパスワードを使用してログインする必要があります。ログインすると、保存したパスワードを解読するために必要な情報がメモリに保存され、アクセスできるようになります。より安全で扱いにくいアプローチは、保存されたパスワードを検索するためにFirefoxが必要になるたびにマスターパスワードの入力を要求することでした。

保存されたパスワードが完全に暗号化されていて完全にアクセスできない場合でも、ある時点で解読してWebフォームに入力する必要があります。これは、暗号化されていないパスワードをメモリに保持することを意味します。実際には、これらのパスワードをメモリから取得し、それらを明らかにするように設計された「アスタリスク 顕示者」プログラムがかなりあります。マルウェアは理論的に同じことを行うことができます。

また、マルウェアがキーログを記録し、入力したパスワードを攻撃者が取得する可能性もあります。


主要なブラウザ(IE、Chrome、FF)のパスワードセキュリティに関する詳細な調査がこちらにあります。要約すると、ChromeとIE10はどちらもWindowsの強力な暗号化ルーチンに依存しています。ただし、同じユーザー実行されている他のプログラムに対する保護はありません。つまり、マルウェアに対しては役に立ちません。繰り返しますが、実行中のプログラム(管理者として)は、メモリからキーログを記録することで情報を取得できます。

暗号化の方法は、後で分析するために保存されたデータを盗む可能性を考慮する場合に最も重要です。一般に、最新のブラウザはすべて、そのような攻撃から保護するための適切な仕事をしています。Windowsの暗号化されたデータはWindowsユーザーアカウントにログインすることで回復でき、Windowsパスワードはもはや完全に安全ではないため、適切で強力なパスワードを持つFirefoxが再び推奨されます。どれも非常に熱心な攻撃者を止めないことに注意してください。


オーセンティケーターを使用すると、パスワードを盗むための悪意のある攻撃者のオプションが大幅に削減されることに注意してください。
o0 '。

1

NirSoftは、Internet Explorer 8およびパスワードの下で復号化できる「IEPassView」と呼ばれるツールを提供します。Windowsのシステム情報でも同じことができます。上部のキーをクリックするだけです。

NirSoftは、多くの一般的なブラウザー(http://www.nirsoft.net/password_recovery_tools.html)に「パスワード回復」ツールを提供しますこれらは、組み込みのパスワードストレージが安全でないことを示す優れた「概念実証」を行います。 。


ええと、それは実際には少し誤解を招くかもしれません。これらのツールは、マスターパスワードで保護されたログインではまったく機能しないか、ログイン詳細を「復号化」するためにマスターパスワードが必要であるとは言いませんでした。少なくとも、これはOpera / Chrome / Firefoxに当てはまります。IEが何をするのかはわかりませんが、すぐそこにいるでしょう。
アモスM.カーペンター

1

Lastpassとそのようなソフトウェアは、便利で便利な答えです。それらは完全なセキュリティを提供しませんが(ファイアウォール、アンチウイルスなどの基本を行う必要があります)、パスワードを管理する良い方法です。また、魔法のクラウドに保存されているため、どこからでもアクセスできます(アクセスするためにマシンに保存するローカルソフトウェアとは異なります)。


1
繰り返しますが、これはローカルで実行されるマルウェアから保護されないことに注意してください。まず、マルウェアがLastpassマスターパスワードを傍受する可能性があります。二要素認証はそれに対して保護できますが、目的のWebページにパスワードを入力する過程でパスワードが漏洩する可能性があります。問題は、マルウェアがマシン上で実行されている(上昇している)場合、暗号化されていないデータがねじ込まれていることです。暗号化されたデータは、アクセスしようとするとすぐに破壊されます。
ボブ

(これはまだ良い提案です(私は個人的にKeepassを使用していますが、そのクラウドのごみはどれも使用していません)が、質問で提起された点に対処する必要があります。)
ボブ

@Bobには、ローカルマシンのマルウェアでさえ、パスワードを傍受するのと同じことができるという問題があります。コピーアンドペーストも追跡できるため、パスワードを使用すると追跡されます。良い方法はありません。2要素認証は本当に簡単です。
グリフィン

うん、私はKeepassがローカルで実行されるマルウェアに対してより安全だと言っているのではない。
ボブ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.