mehraboOon
10-06-2011, 03:32 PM
کلمات عبور ذخیره شده شما در مرورگر کروم تا چه حد ایمن هستند؟
http://www.gooyait.com/uploads/1454.png
سوال رایجی در مورد مرورگر گوگل کروم است که می پرسد: “چرا در این مرورگر یک رمز عبور اصلی برای دسترسی به رمز های عبور ذخیره شده توسط کاربر وجود ندارد؟” گوگل به طور غیررسمی (http://www.google.com/support/forum/p/Chrome/thread?tid=5f249c4fa04ecd17&hl=en) به این سوال چنین پاسخ می دهد که یک رمز عبور کلیدی، احساس کاذبی از امنیت را برای کاربر فراهم می کند و بهترین و با دوام ترین شکل حفاظت از این اطلاعات حساس از طریق امنیت کلی سیستم رایانه حاصل می گردد.
بنابراین سوال این است که اطلاعات مربوط به رمز عبورهای خود را که درون گوگل کروم ذخیره کرده اید واقعا چقدر امنیت دارند؟
مشاهده کلمات عبور ذخیره شده
کروم، ابزار مدیریت رمز عبور مخصوص به خود را دارد که از طریق منوهای Options > Personal Stuff > Manage saved passwords (از چپ به راست) قابل دسترسی است. این چیز جدیدی نیست و اگر شما اجازه داده اید که کروم کلمات عبور شما را ذخیره کند، احتمالا در حال حاضر از این ویژگی آگاهی دارید.
نکته ظریف و خوب امنیتی در اینجا این است که شما ابتدا باید بر روی دکمه show در کنار هر یک از رمزهای عبور که قصد مشاهده اش را دارید کلیک کنید تا از حالت کد شده به صورت کاراکتر به نمایش درآید.
http://www.gooyait.com/uploads/2333.pnghttp://www.gooyait.com/uploads/3273.png (http://www.gooyait.com/1390/07/14/how-secure-are-your-saved-chrome-browser-passwords.html/3-754)
در حالی که هیچ گونه محدودیتی برای دسترسی به این صفحه وجود ندارد (به عنوان مثال اگر شما دسترسی به کامپیوتر شخصی داشته باشید که روی آن کروم نصب شده است ، شما می توانید به قسمت مدیریت کلمات عبور وارد شوید)، حداقل نیاز به دخالت کاربر برای مشاهده هر یک از رمز عبور ها وجود دارد و خوشبختانه هیچ راهی برای اکسپورت کردن همگی رمزهای عبور به شکل یک فایل متنی ساده تعبیه نشده است.
داده های رمز عبورکجا ذخیره می شوند؟
دیتای مربوط به رمز های ذخیره شده در پایگاه داده SQLite واقع در این آدرس ذخیره می شوند :
%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data
شما می توانید این فایل را با استفاده از برنامه SQLite Database Browser باز کنید (نام فایل فقط ” Login Data ” هست) و جدول لاگ-این ها که که حاوی کلمات عبور ذخیره شده است را مشاهده نمایید. اگر دقت کنید متوجه خواهید شد که فیلد “password_value” غیر قابل خواندن (مشاهده) است به این خاطر که ارزش مرتبط با آن رمزگذاری شده است.
http://www.gooyait.com/uploads/4238.png
داده های رمزگذاری شده چقدر امن است ؟
برای انجام رمزنگاری (در ویندوز) ، کروم از ابزار API ارائه شده توسط ویندوز بهره می گیرد که باعث می شود داده های رمزگذاری شده را تنها بتوان با همان حساب کاربری ویندوز که برای به رمز در آوردن اطلاعات رمز عبور استفاده شده بتوان رمز گشایی نمود. بنابراین اساسا، رمز عبور کلیدی و اصلی شما در کروم همان رمز عبور حساب ویندوز شما می باشد. در نتیجه ، وقتی که شما به سیستم ویندوز با استفاده از اطلاعات حساب کاربری خود وارد شوید این داده ها توسط کروم رمز گشایی خواهد شد.
با این حال ، به این دلیل که رمز عبور حساب ویندوز ثابت است، دسترسی به “رمز عبور کلیدی” منحصر به کروم نیست چون برنامه های خارجی نیز می توانند به این داده دسترسی یابند- و آن را رمزگشایی کنند- . برای مثال با استفاده از برنامه رایگان ChromePass که از سوی شرکت NirSoft در دسترس کاربران قرار گرفته ، شما می توانید تمام داده های مربوط به رمز عبورهای ذخیره شده خود را ببینید و به راحتی همه این داده ها را به فرمت یک فایل متنی ساده درآورید.
http://www.gooyait.com/uploads/5218.png
پس کاملا منطقی است که اگر ابزار ChromePass بتواند به این اطلاعات دسترسی داشته باشد، احتمال دهیم نرم افزارهای مخرب که پنهانی روی رایانه کاربر فعال شده اند نیز بتوانند به این اطلاعات دسترسی پیدا کنند. جالب اینکه وقتی ChromePass.exe را در سرویس VirusTotal (http://www.virustotal.com/file-scan/report.html?id=abca78e9e323c83dda09afba29a2cd76846 871546959541bff51eb4afa1ac499-1312833684) برای بررسی خطرناک بودن این برنامه بارگذاری کردیم، فقط کمی بیش از نیمی از موتورهای ضد ویروس آن را به عنوان خطرناک طبقه بندی کردند. در حالی که در این مورد این ابزار امن است و خطری را متوجه شما نمی سازد، توجه به این مسئله که رفتار این ابزار در دسترسی به اطلاعات مهم نتوانسته باعث حساسیت قریب به اتفاق نرم افزارهای ضد ویروس شود بسیار تامل برانگیز است.( و متاسفانه برنامه ملزومات امنیتی مایکروسافت نیز یکی از موتورهای ضدویروسی بود که آن را به عنوان خطرناک گزارش نکرد!)
http://www.gooyait.com/uploads/6177.png
آیا حفاظت و امنیت دور زده می شود؟
فرض کنید کامپیوتر شما به سرقت رفته و فرد سارق رمز عبور ویندوز شما را به منظور ورود به ویندوز شما با همان تنظیمات شما، ریست می کند (http://www.howtogeek.com/howto/windows-vista/change-your-forgotten-windows-password-with-the-linux-system-rescue-cd/). اگر او متعاقبا سعی به مشاهده کلمات عبور در کروم کرده یا از ابزار ChromePass استفاده کند، در نیل به مقصود خود شکست خواهد خورد چرا که داده های رمز عبور در دسترس او نخواهد بود. دلیل این امر این نکته ساده است که رمز عبور “کلیدی” (که رمز عبور حساب ویندوز شما بوده است قبل از آنکه سارق با توسل به روش های خاص آن را از خارج از محیط ویندوز ریست کند) با آنچه در کروم ذخیره شده مطابقت ندارد به طوری رمزگشایی با شکست مواجه خواهد شد.
http://www.gooyait.com/uploads/7164.png
علاوه بر این ، اگر کسی خیلی سادگی فایل های درون پایگاه داده SQLite مربوط به رمز عبور کروم را کپی کرده و سعی کند به این اطلاعات روی یک کامپیوتر دیگر دسترسی داشته باشد ، ChromePass به دلیلی که در بالا توضیح داده شد کلمه عبور خالی را نمایش خواهد داد!
http://www.gooyait.com/uploads/8126.png
نتیجه
پس از همه این بحث ها، امنیت کلمات عبور ذخیر شدده در کروم کاملا به کاربر بستگی دارد:
مهم تر از همه سعی کنید از رمز عبور بسیار قوی برای حساب کاربری ویندوز خود استفاده کنید. به خاطر داشته باشید ، ابزارهایی وجود دارند که می توانند رمزهای عبور ویندوز را کشف کنند (http://www.howtogeek.com/howto/29694/how-to-crack-your-forgotten-windows-password/). اگر کسی رمز عبور حساب ویندوز شما را بداند در مرحله بعد می تواند به کلمات عبور ذخیره شده در مرورگر شما دسترسی یابد.
از سیستم خود در برابر نرم افزارهای مخرب محافظت کنید. اگر ابزارهای بی خطر به راحتی قادر به دسترسی به رمزهای عبور ذخیره شده شما هستند ، چرا نرم افزارهای مخرب قادر نباشند؟
کلمات عبور خود را در یک سیستم مدیریت رمز عبور مانند KeePass ذخیره کنید. البته، در این حالت، سهولت پر کردن خودکار فیلد کلمات عبور توسط مرورگر را از دست خواهید داد. اما امنیت بالاتری بدست خواهید آورد.
از ابزار های شخص ثالث که با کروم ادغام شده و قابلیت استفاده از یک رمز عبور کلیدی را به شما می دهد جهت مدیریت رمزهای عبور خود استفاده کنید.
کل هارد دیسک خود را با استفاده از TrueCrypt رمزنگاری کنید. این گزینه کاملا اختیاری و برای محافظ فوق العاده زیاد است ، اما اگر کسی نتواند درایوهای شما را رمزگشایی کند، قطعا نمی تواند هر چیزی دوست دارد از ان استخراج کند.
کلام آخر این است که هر چه سیستم خود را امن نگه دارید کلمات عبور ذخیره شده در مرورگر کروم نیز به همان میزان امن باقی خواهد ماند.
دانلود ChromePass از NirSoft (http://www.nirsoft.net/utils/chromepass.html)
دانلود SQLite Browser از SourceForge (http://sourceforge.net/projects/sqlitebrowser/)
منبع:
http://www.gooyait.com/uploads/1454.png
سوال رایجی در مورد مرورگر گوگل کروم است که می پرسد: “چرا در این مرورگر یک رمز عبور اصلی برای دسترسی به رمز های عبور ذخیره شده توسط کاربر وجود ندارد؟” گوگل به طور غیررسمی (http://www.google.com/support/forum/p/Chrome/thread?tid=5f249c4fa04ecd17&hl=en) به این سوال چنین پاسخ می دهد که یک رمز عبور کلیدی، احساس کاذبی از امنیت را برای کاربر فراهم می کند و بهترین و با دوام ترین شکل حفاظت از این اطلاعات حساس از طریق امنیت کلی سیستم رایانه حاصل می گردد.
بنابراین سوال این است که اطلاعات مربوط به رمز عبورهای خود را که درون گوگل کروم ذخیره کرده اید واقعا چقدر امنیت دارند؟
مشاهده کلمات عبور ذخیره شده
کروم، ابزار مدیریت رمز عبور مخصوص به خود را دارد که از طریق منوهای Options > Personal Stuff > Manage saved passwords (از چپ به راست) قابل دسترسی است. این چیز جدیدی نیست و اگر شما اجازه داده اید که کروم کلمات عبور شما را ذخیره کند، احتمالا در حال حاضر از این ویژگی آگاهی دارید.
نکته ظریف و خوب امنیتی در اینجا این است که شما ابتدا باید بر روی دکمه show در کنار هر یک از رمزهای عبور که قصد مشاهده اش را دارید کلیک کنید تا از حالت کد شده به صورت کاراکتر به نمایش درآید.
http://www.gooyait.com/uploads/2333.pnghttp://www.gooyait.com/uploads/3273.png (http://www.gooyait.com/1390/07/14/how-secure-are-your-saved-chrome-browser-passwords.html/3-754)
در حالی که هیچ گونه محدودیتی برای دسترسی به این صفحه وجود ندارد (به عنوان مثال اگر شما دسترسی به کامپیوتر شخصی داشته باشید که روی آن کروم نصب شده است ، شما می توانید به قسمت مدیریت کلمات عبور وارد شوید)، حداقل نیاز به دخالت کاربر برای مشاهده هر یک از رمز عبور ها وجود دارد و خوشبختانه هیچ راهی برای اکسپورت کردن همگی رمزهای عبور به شکل یک فایل متنی ساده تعبیه نشده است.
داده های رمز عبورکجا ذخیره می شوند؟
دیتای مربوط به رمز های ذخیره شده در پایگاه داده SQLite واقع در این آدرس ذخیره می شوند :
%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data
شما می توانید این فایل را با استفاده از برنامه SQLite Database Browser باز کنید (نام فایل فقط ” Login Data ” هست) و جدول لاگ-این ها که که حاوی کلمات عبور ذخیره شده است را مشاهده نمایید. اگر دقت کنید متوجه خواهید شد که فیلد “password_value” غیر قابل خواندن (مشاهده) است به این خاطر که ارزش مرتبط با آن رمزگذاری شده است.
http://www.gooyait.com/uploads/4238.png
داده های رمزگذاری شده چقدر امن است ؟
برای انجام رمزنگاری (در ویندوز) ، کروم از ابزار API ارائه شده توسط ویندوز بهره می گیرد که باعث می شود داده های رمزگذاری شده را تنها بتوان با همان حساب کاربری ویندوز که برای به رمز در آوردن اطلاعات رمز عبور استفاده شده بتوان رمز گشایی نمود. بنابراین اساسا، رمز عبور کلیدی و اصلی شما در کروم همان رمز عبور حساب ویندوز شما می باشد. در نتیجه ، وقتی که شما به سیستم ویندوز با استفاده از اطلاعات حساب کاربری خود وارد شوید این داده ها توسط کروم رمز گشایی خواهد شد.
با این حال ، به این دلیل که رمز عبور حساب ویندوز ثابت است، دسترسی به “رمز عبور کلیدی” منحصر به کروم نیست چون برنامه های خارجی نیز می توانند به این داده دسترسی یابند- و آن را رمزگشایی کنند- . برای مثال با استفاده از برنامه رایگان ChromePass که از سوی شرکت NirSoft در دسترس کاربران قرار گرفته ، شما می توانید تمام داده های مربوط به رمز عبورهای ذخیره شده خود را ببینید و به راحتی همه این داده ها را به فرمت یک فایل متنی ساده درآورید.
http://www.gooyait.com/uploads/5218.png
پس کاملا منطقی است که اگر ابزار ChromePass بتواند به این اطلاعات دسترسی داشته باشد، احتمال دهیم نرم افزارهای مخرب که پنهانی روی رایانه کاربر فعال شده اند نیز بتوانند به این اطلاعات دسترسی پیدا کنند. جالب اینکه وقتی ChromePass.exe را در سرویس VirusTotal (http://www.virustotal.com/file-scan/report.html?id=abca78e9e323c83dda09afba29a2cd76846 871546959541bff51eb4afa1ac499-1312833684) برای بررسی خطرناک بودن این برنامه بارگذاری کردیم، فقط کمی بیش از نیمی از موتورهای ضد ویروس آن را به عنوان خطرناک طبقه بندی کردند. در حالی که در این مورد این ابزار امن است و خطری را متوجه شما نمی سازد، توجه به این مسئله که رفتار این ابزار در دسترسی به اطلاعات مهم نتوانسته باعث حساسیت قریب به اتفاق نرم افزارهای ضد ویروس شود بسیار تامل برانگیز است.( و متاسفانه برنامه ملزومات امنیتی مایکروسافت نیز یکی از موتورهای ضدویروسی بود که آن را به عنوان خطرناک گزارش نکرد!)
http://www.gooyait.com/uploads/6177.png
آیا حفاظت و امنیت دور زده می شود؟
فرض کنید کامپیوتر شما به سرقت رفته و فرد سارق رمز عبور ویندوز شما را به منظور ورود به ویندوز شما با همان تنظیمات شما، ریست می کند (http://www.howtogeek.com/howto/windows-vista/change-your-forgotten-windows-password-with-the-linux-system-rescue-cd/). اگر او متعاقبا سعی به مشاهده کلمات عبور در کروم کرده یا از ابزار ChromePass استفاده کند، در نیل به مقصود خود شکست خواهد خورد چرا که داده های رمز عبور در دسترس او نخواهد بود. دلیل این امر این نکته ساده است که رمز عبور “کلیدی” (که رمز عبور حساب ویندوز شما بوده است قبل از آنکه سارق با توسل به روش های خاص آن را از خارج از محیط ویندوز ریست کند) با آنچه در کروم ذخیره شده مطابقت ندارد به طوری رمزگشایی با شکست مواجه خواهد شد.
http://www.gooyait.com/uploads/7164.png
علاوه بر این ، اگر کسی خیلی سادگی فایل های درون پایگاه داده SQLite مربوط به رمز عبور کروم را کپی کرده و سعی کند به این اطلاعات روی یک کامپیوتر دیگر دسترسی داشته باشد ، ChromePass به دلیلی که در بالا توضیح داده شد کلمه عبور خالی را نمایش خواهد داد!
http://www.gooyait.com/uploads/8126.png
نتیجه
پس از همه این بحث ها، امنیت کلمات عبور ذخیر شدده در کروم کاملا به کاربر بستگی دارد:
مهم تر از همه سعی کنید از رمز عبور بسیار قوی برای حساب کاربری ویندوز خود استفاده کنید. به خاطر داشته باشید ، ابزارهایی وجود دارند که می توانند رمزهای عبور ویندوز را کشف کنند (http://www.howtogeek.com/howto/29694/how-to-crack-your-forgotten-windows-password/). اگر کسی رمز عبور حساب ویندوز شما را بداند در مرحله بعد می تواند به کلمات عبور ذخیره شده در مرورگر شما دسترسی یابد.
از سیستم خود در برابر نرم افزارهای مخرب محافظت کنید. اگر ابزارهای بی خطر به راحتی قادر به دسترسی به رمزهای عبور ذخیره شده شما هستند ، چرا نرم افزارهای مخرب قادر نباشند؟
کلمات عبور خود را در یک سیستم مدیریت رمز عبور مانند KeePass ذخیره کنید. البته، در این حالت، سهولت پر کردن خودکار فیلد کلمات عبور توسط مرورگر را از دست خواهید داد. اما امنیت بالاتری بدست خواهید آورد.
از ابزار های شخص ثالث که با کروم ادغام شده و قابلیت استفاده از یک رمز عبور کلیدی را به شما می دهد جهت مدیریت رمزهای عبور خود استفاده کنید.
کل هارد دیسک خود را با استفاده از TrueCrypt رمزنگاری کنید. این گزینه کاملا اختیاری و برای محافظ فوق العاده زیاد است ، اما اگر کسی نتواند درایوهای شما را رمزگشایی کند، قطعا نمی تواند هر چیزی دوست دارد از ان استخراج کند.
کلام آخر این است که هر چه سیستم خود را امن نگه دارید کلمات عبور ذخیره شده در مرورگر کروم نیز به همان میزان امن باقی خواهد ماند.
دانلود ChromePass از NirSoft (http://www.nirsoft.net/utils/chromepass.html)
دانلود SQLite Browser از SourceForge (http://sourceforge.net/projects/sqlitebrowser/)
منبع: