web-dev-qa-db-ja.com

ブラウザのパスワードマネージャはどのくらい安全ですか?

たとえば、Operaには、さまざまなサイトで入力したユーザー名とパスワードを記憶する「ワンド」機能があります。

PCからデータを盗むトロイの木馬を入手したとしましょう。トロイの木馬は、保存されているパスワードをブラウザで復号化して使用できますか?

firefoxgoogle-chromebrowserpasswordsopera
13
Alex

ボブの答えに記されている点はすべて有効なので、私はそれらを繰り返すことはしません。しかし、あなたの質問は有効な懸念事項であるため、少しの追加情報も役立つかもしれないと思いました。

  • Operaのワンド機能を使用すると、Preferences > Advanced > Security > Ask for passwordでマスターパスワードを要求する頻度を指定できます。「セッションごとに1回」(ボブが正しく指摘しているように、セキュリティが制限されます)、「x分/時間ごと」などを選択できます。 "(.iniファイルをいじってもかまわない場合は、独自の頻度をカスタマイズできます)、および"必要なたびに "(ブラウジングセッション中にパスワードがメモリに保存されないため、明らかに最も安全なオプションです。 )。私はFirefoxを使用していませんが、どこかに同様の拡張機能があると想像できます。

  • ワンドデータは、マスターパスワードが使用されていない場合に比較的少ない労力で解読できる形式でwand.datと呼ばれるファイルに保存されます。 doマスターパスワードを使用する場合、ランダムなコンポーネントとマスターパスワードを使用して暗号化され、現在私を回避しているアルゴリズムを使用します(ただし、簡単に検索できるはずです)。

  • 平均的なログインよりもセキュリティが重要なサイトにパスワードを使用する場合は、パスワードを保存しないを選択するだけです。

  • Opera(または他のブラウザの同等のもの)のプライベートタブを使用すると、そのタブのセッションデータを「通常の」タブのデータとは別に保存できます。これにより、セキュリティがさらに強化される可能性があります。

  • Chromeとその派生物(つまり、各タブを別々のスレッドでサンドボックス化する)で使用されるセキュリティモデルは、さらに優れたセキュリティを提供します。

  • 定期的にキーロガーなどを防ぐことができます。

    • ウイルス対策およびファイアウォールソフトウェアの更新。そして
    • パスワードの変更。

総括する:

  • ブラウザのセキュリティレベルとログインのセキュリティレベルあなた次第大部分。

  • 誰かが非常に熟練していて機知に富んでいる場合、彼らはおそらく最終的にあなたのデータを手に入れることができるでしょうにもかかわらず上記のすべての予防措置、しかしそれはwouldあなたのブラウザのデータをはるかに安全にしますそしてそれを大幅にクラックするために必要な洗練のレベルを上げるでしょう。

4
Amos M. Carpenter

  • コンピューターにマルウェアが存在する場合、パスワードを入力または保存していないと、本当に安全であるとは見なされません。 KeyPassデータベースなどの暗号化されたパスワードであっても、復号化に必要な詳細を入力するとすぐに、攻撃者はパスワードを取得できます。

  • ブラウザは通常、少なくともデフォルト設定では、保存されたパスワードのセキュリティにあまり注意を払っていません。

PCからデータを盗むトロイの木馬を入手したとしましょう。トロイの木馬は、保存されているパスワードをブラウザで復号化して使用できますか?

一言で言えば:はい。ブラウザは通常、記憶されているパスワードを暗号化しないため、簡単に読み取ることができます。保存されたキーを使用した暗号化は、とにかく役に立ちません。ブラウザがキーを復号化できる場合、同じコンピュータで実行されている他のプログラムでも同じことができます。

私はFirefoxに最も精通しているので、それを使用します。

Firefoxでは、「マスターパスワード」を設定できます。そうした場合、保存されているパスワードをマスターパスワードで暗号化します。ただし、便宜上、このマスターパスワードを使用してログインする必要があるのはセッションごとに1回だけです。 ログインすると、保存されたパスワードを復号化するために必要な情報がメモリに保存され、アクセスできるようになります。より安全で面倒なアプローチはFirefoxが保存されたパスワードを検索する必要があるたびにマスターパスワードを入力する必要があります。

保存されたパスワードが完全に暗号化されていて完全にアクセスできない場合でも、ある時点で復号化してWebフォームに入力する必要があります。つまり、パスワードを暗号化せずに保持することを意味します。 、メモリ内。実際には、かなりの数の ' アスタリスクrevealer 'プログラムがあり、これらのパスワードをメモリから取得して、明らかにするように設計されています。マルウェアは理論的には同じことをする可能性があります。

また、マルウェアがキーロガーを使用して、攻撃者が入力したパスワードを取得できるようにする可能性もあります。

主要なブラウザ(IE、Chrome、FF)全体のパスワードセキュリティに関する非常に詳細な調査があります ここ 。要約すると、ChromeとIE10はどちらも強力と見なされるWindowsの暗号化ルーチンに依存していますが、同じ下で実行されている他のプログラムから保護しませんuser、つまりマルウェアに対しては役に立たない。繰り返しますが、実行中のプログラム(管理者として)は、メモリから、またはとにかくキーロガーによって情報を取得できます。

保存したデータが後で分析するために盗まれる可能性を検討する場合、暗号化の方法は最も重要です。誰かがあなたのコンピュータに忍び込んでコピーしたり、コンピュータを盗んだりします。一般に、最近のすべてのブラウザは、そのような形態の攻撃から保護するという適切な仕事をしています。 Windowsの暗号化されたデータはWindowsのユーザーアカウントにログインすることで回復でき、Windowsのパスワードはもはや完全に安全ではないため、適切で強力なパスワードを持つFirefoxが再び推奨されます。非常に決心した攻撃者を止めることはできないことに注意してください。

22
Bob

Lastpass そしてそれのようなソフトウェアは良い便利な答えです。それらは完全なセキュリティを提供しませんが(ファイアウォール、アンチウイルスなどの基本を行う必要があります)、パスワードを管理するための良い方法です。また、魔法の雲に保存されているため、どこからでもアクセスできます(アクセスするためにマシンに保存する必要があるローカルソフトウェアとは異なります)。

1
Griffin

NirSoftは、Internet Explorer8以下のパスワードを復号化できる「IEPassView」と呼ばれるツールを提供します。 Windowsのシステム情報でも同じことができます。上部のキーをクリックするだけです。

NirSoftは、多くの一般的なブラウザに「パスワード回復」ツールを提供します( http://www.nirsoft.net/password_recovery_tools.html )-これらは、構築されたものを示すための優れた「概念実証」になります-パスワードの保存は安全ではありません。

1
Chris