Một câu hỏi chung về trình duyệt Google Chrome là “tại sao
không có chức năng master password (mật khẩu chính)?” Theo
thông tin (không chính thức) từ Google thì việc sử dụng mật
khẩu chính cho trình duyệt sẽ làm cho người dùng có cảm nhận
sai lệch về bảo mật, và phương pháp khả thi nhất để bảo vệ dữ
liệu là thông qua hệ thống an ninh tổng thể.
4 trang |
Chia sẻ: oanh_nt | Lượt xem: 1357 | Lượt tải: 0
Nội dung tài liệu Bảo mật Passwords đã lưu trên Google Chrome, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Bảo mật Passwords đã lưu trên Google
Chrome
Một câu hỏi chung về trình duyệt Google Chrome là “tại sao
không có chức năng master password (mật khẩu chính)?” Theo
thông tin (không chính thức) từ Google thì việc sử dụng mật
khẩu chính cho trình duyệt sẽ làm cho người dùng có cảm nhận
sai lệch về bảo mật, và phương pháp khả thi nhất để bảo vệ dữ
liệu là thông qua hệ thống an ninh tổng thể.
Vậy chính xác là làm thế nào để bảo mật cho những dữ liệu
password của bạn được lưu trên Google Chrome?
Xem password đã lưu
Chrome bao gồm một trình quản lý mật khẩu và người dùng có
thể truy cập thông qua Options > Personal Stuff > Manage
saved passwords. Điều này không có gì mới bởi chỉ cần bạn
từng cho phép Chrome lưu lại mật khẩu của mình, có thể bạn đã
biết đến tính năng này.
Theo mặc định, để đảm bảo an ninh cho mật khẩu Chrome sẽ
hiển thị chúng dưới dạng dấu *, để xem được bạn chỉ cần kích
vào nút Show trước mỗi password cần xem.
Bởi vì không có hạn chế nào cho sự truy cập, nên chỉ cần ai đó
sử dụng máy tính có cài đặt Chrome là họ sẽ xem được những
password này. Tuy nhiên bạn chỉ có thể xem chúng mà không có
cách nào export ra tập tin khác được.
Dữ liệu password được lưu ở đâu?
Những dữ liệu Mật khẩu được lưu trong một cơ sở dữ liệu
SQLite có đường dẫn như sau:
Bạn có thể mở tập tin này (có tên “Login Data”) bằng cách sử
dụng SQLite Database Browser và xem bảng “logins”, tại đây
chứa các password được bạn ấn Save. Tuy nhiên trường
“password_value” đã được mã hóa nên bạn không thể xem
được.
Bảo mật cho dữ liệu được mã hóa
Để thực hiện việc mã hóa (trong Windows), Chrome sử dụng
chức năng Windows provided API. Các dữ liệu được mã hóa chỉ
có thể đọc được bởi tài khoản người dùng Windows đã sử dụng
để làm việc này. Do đó, về cơ bản mật khẩu chính là mật khẩu
tài khoản Windows của bạn. Muốn xem được vùng dữ liệu này
bắt buộc phải đăng nhập vào Windows bằng cùng một tài khoản.
Tuy nhiên, do mật khẩu tài khoản Windows là một hằng số, việc
truy cập vào “master password” không phải là độc quyền của
Chrome nên những tiện ích bên ngoài vẫn có thể nhận dạng
được dữ liệu này và giải mã chúng.
Với tiện ích có sẵn ChromePass của NirSofft bạn có thể nhìn
thấy toàn bộ dữ liệu mật khẩu được lưu và dễ dàng export chúng
ra tập tin văn bản đơn giản.
Vì vậy tạo cho người dùng cảm giác rằng nếu tiện ích
ChromePass có thể truy cập dữ liệu thì những phần mềm độc hại
khác cũng có thể chạy bình thường và tài khoản người dùng
khác cũng có thể truy cập mọi dữ liệu. Khi ChromePass.exe
được tải lên VirusTotal, chỉ có hơn một nửa phần mềm anti-
virus gán cờ “nguy hiểm”.
Sự bảo vệ có thể bị phá vỡ?
Giả sử máy tính của bạn chẳng may bị mất cắp và kẻ chộm đã sử
dụng phần mềm để reset lại mật khẩu của Windows để trở về
trạng thái đăng nhập nguyên bản. Nếu sau đó họ cố gắng để xem
các password trong Chrome hoặc sử dụng tiện ích ChromePass
thì dữ liệu sẽ không được cung cấp. Nguyên nhân đơn giản là do
“master password” (với mật khẩu tài khoản Windows được ưu
tiên để tự reset nó bên ngoài Windows) không phù hợp để giải
mã.
Ngoài ra, nếu ai đó sao chép mật khẩu Chrome từ cơ sở dữ liệu
SQLite và cố gắng truy cập vào nó trên máy tính khác,
ChromePass sẽ hiển thị một mật khẩu trống với lý do tương tự
như trên.
Kết luận
Suy cho cùng, việc bảo mật cho các mật khẩu lưu trên Chrome
hoàn toàn dựa vào chính người dùng nó.
Sử dụng mật khẩu thật mạnh cho tài khoản Windows. Hãy
nhớ rằng có những tiện ích có thể giải mã mật khẩu
Windows, nếu ai đó có được mật khẩu này họ sẽ có quyền
truy cập vào mật khẩu lưu trên trình duyệt của bạn.
Tự bảo về mình khỏi những phần mềm độc hại. Nếu tiện
ích nào đó có thể dễ dàng truy cập vào mật khẩu đã lưu,
vậy tại sao các phần mềm độc hại lại không thể?
Lưu trữ mật khẩu của mình trên hệ thống quản lý mật khẩu
như KeePass. Tất nhiên bạn sẽ mất đi sự tiện lợi khi trình
duyệt tự động điền giúp những mật khẩu này.
Sử dụng một tiện ích của bên thứ ba có tích hợp với
Chrome và sử dụng một mật khẩu chính để quản lý.
Mã hóa toàn bộ ổ đĩa cứng bằng ứng dụng như TrueCrypt
Các file đính kèm theo tài liệu này:
- bao_mat_passwords_da_luu_tren_google_chrome.pdf