Dans quelle mesure Chrome stocke-t-il un mot de passe?
Chaque fois que j'entre une connexion dans un nouveau site, Chrome me demande s'il doit stocker les informations de connexion. Je pensais que c'était assez sécurisé. Si quelqu'un trouvait mon ordinateur déverrouillé, il pourrait passer l'écran de connexion pour certains sites Web utilisant les détails stockés, mais si on leur demandait à nouveau le mot de passe comme lors du paiement, ou s'ils voulaient se connecter au service à partir d'un autre appareil, ils n'auraient pas de chance.
Du moins, c'est ce que je pensais quand je pensais que le navigateur ne stockait pas le mot de passe lui-même, mais un hachage ou un cryptage du mot de passe. J'ai remarqué que le navigateur remplit les champs de nom d'utilisateur et de mot de passe, et le champ de mot de passe indique le nombre de caractères dans le mot de passe.
Je fais partie de ces personnes qui, lorsqu'on leur a demandé de changer leur mot de passe, conserve simplement le même mot de passe, mais change un nombre à la fin. Je sais que c'est mauvais, mais avec la fréquence à laquelle on me demande de changer les mots de passe, je ne me souviens vraiment pas du nombre de mots de passe attendus de moi. Cela se traduit par de nombreux mots de passe identiques, mais parfois j'oublie quel doit être le numéro de fin pour une connexion particulière.
Je ne pouvais pas me souvenir du numéro de fin pour une certaine connexion, alors je suis allé sur un site Web où le mot de passe était stocké. J'ai supprimé les deux derniers caractères et essayé différents numéros et alto, je savais quel était le bon numéro de fin.
Il me semble qu'il s'agit d'une faille de sécurité fondamentale. Si je peux vérifier le dernier caractère de mon mot de passe sans en vérifier d'autres, alors le nombre d'essais nécessaires pour déchiffrer le mot de passe augmente linéairement avec le nombre de caractères non exponentiels. Cela semble être un petit pas à partir de là pour dire que si quelqu'un est venu sur mon ordinateur lorsqu'il a été déverrouillé, un simple script pourrait extraire tous les mots de passe stockés pour tous les principaux sites Web pour lesquels j'ai stocké des mots de passe.
Ce n'est pas le cas? Y a-t-il une autre couche de sécurité qui empêcherait cela?
Chrome ne stocke pas seulement votre mot de passe, il vous le montrera. Sous Paramètres -> Avancé -> Gérer les mots de passe, vous pouvez trouver tous vos mots de passe pour tous vos sites. Cliquez sur afficher sur l'un d'eux et il apparaîtra en clair.
Les mots de passe hachés fonctionnent pour le site qui vous authentifie. Ils ne sont pas une option pour les gestionnaires de mots de passe. Beaucoup chiffreront les données localement, mais la clé sera également stockée localement, sauf si vous avez une configuration de mot de passe principal.
Personnellement, j'utilise le gestionnaire de mots de passe chrome et je le trouve pratique. J'ai également, cependant, un cryptage complet du disque et je verrouille mon écran avec diligence. Ce qui rend le risque raisonnable à mon humble avis.
Vous semblez incohérent (beaucoup le sont) en sélectionnant des mots de passe mémorables et en utilisant un gestionnaire de mots de passe. Et je peux m'imaginer que vous pouvez même répéter le mot de passe ou au moins le thème sur de nombreux sites. Cela vous donne le pire des deux mondes. Vous obtenez les risques du gestionnaire de mots de passe sans les avantages.
Avec un gestionnaire de mots de passe en qui vous avez confiance, vous pouvez donner à chaque site un mot de passe aléatoire unique qui n'est pas du tout mémorable et gagner beaucoup de protection contre de nombreux vecteurs d'attaque très réels. En échange d'un seul point de défaillance de votre gestionnaire de mots de passe. Même avec un gestionnaire de mots de passe moins que parfait, ce n'est pas un compromis déraisonnable. Avec un bon gestionnaire de mots de passe, cela devient la meilleure pratique consensuelle.
Modifier pour ajouter: veuillez lire Henno Brandsma réponse expliquant comment le mot de passe de connexion et la prise en charge du système d'exploitation peuvent être utilisés pour chiffrer les mots de passe, cela donne un niveau de protection raisonnable à vos mots de passe lorsque l'ordinateur est éteint/verrouillé (disque plein le cryptage est meilleur) et n'aidera pas beaucoup si vous laissez votre ordinateur déverrouillé. Même si le navigateur nécessite un mot de passe pour afficher les outils de débogage en texte brut, vous pourrez toujours voir les mots de passe déjà remplis en tant que commentaires @Darren_H. La recommandation précédente consiste toujours à utiliser des mots de passe uniques aléatoires et un gestionnaire de mots de passe.
Chrome (sous Windows) crypte réellement les mots de passe lorsqu'ils sont stockés. Mais il le fait de manière à ce que seule une personne connaissant votre mot de passe de connexion (ou détournant votre session de connexion) puisse réellement utiliser ou afficher les mots de passe stockés. Ceci est bien documenté (il utilise la soi-disant API de protection des données (DPAPI), qui est dans Windows à partir de NT 5.0 (c'est-à-dire Windows 2000), qui utilise de nos jours AES-256 pour crypter les données de mot de passe). Google estime que cette sécurité est suffisante, car elle offre le même niveau de protection que l'ensemble de vos informations de connexion. Sur Mac ou Linux, ils utilisent la technologie de trousseau natif pour protéger un mot de passe maître spécial Chrome, obtenant le même effet, essentiellement. Lisez les sources pour tous les détails ...
Edge et IE (disponible sur Windows uniquement bien sûr) utilisent également cette technologie, BTW, sous un wrapper appelé Credential Store, dans les versions récentes de Windows (et avant elles utilisaient des données DPAPI stockées dans Pour plus d'informations sur DPAPI, voir ici , par exemple.
Voir https://github.com/byt3bl33d3r/chrome-decrypter pour un exemple sur la façon dont les gens extraient les données de mot de passe stockées, connaissant vos informations de connexion.
S'il vous plaît, s'il vous plaît, arrêtez de réutiliser vos mots de passe!
Dans Firefox, vous pouvez réellement définir un mot de passe principal qui protégera vos mots de passe stockés de la visualisation. Ce mot de passe maître sera également requis une fois par session avant que le navigateur ne commence à saisir les mots de passe pour vous.
Vous pouvez également utiliser un gestionnaire de mots de passe à usage général, par exemple Keepass .
Quoi qu'il en soit, pour la plupart des gens, le risque de perdre un mot de passe parce qu'un site a été piraté est plus important que de le perdre sur son propre ordinateur. En effet, un attaquant ayant accès à votre ordinateur a de nombreuses autres options pour vous attaquer. L'un des principaux avantages de l'utilisation d'un gestionnaire de mots de passe est que vous n'avez plus à saisir manuellement le mot de passe pour pouvoir choisir des mots de passe complètement aléatoires et sécurisés.
Si vous utilisez des mots de passe depuis un certain temps, il existe un site soigné pour vérifier certaines des violations les plus importantes pour voir si vous avez été touché: https://haveibeenpwned.com/
Si vous devez utiliser de nombreuses machines différentes, vous pouvez envisager d'utiliser quelque chose comme Keepass2Android sur votre téléphone.
Vous pouvez également afficher les mots de passe dans Chrome en changeant le HTML. Changez le type du champ de saisie en "texte" et vous pouvez voir les informations pré-remplies en texte brut. Donc, si quelqu'un à votre ordinateur connaît un site Web sur lequel vous êtes inscrit et Chrome remplit automatiquement votre mot de passe, ils peuvent le voir.
Chrome est vulnérable au dumping de mots de passe. Il existe de nombreux outils qui videront Chrome mots de passe. LaZagne est l'un d'entre eux. Vous n'avez même pas besoin de privilèges d'administrateur ou d'informations d'identification ou quoi que ce soit.
Apparemment, cela est aussi simple que de se connecter à la base de données SQLite, puis d'appeler Win32CryptUnprotectData pour déchiffrer le mot de passe.
https://github.com/AlessandroZ/LaZagne
Un utilisateur malveillant peut simplement exécuter ce videur de mot de passe ou installer un logiciel malveillant, puis exécuter cet outil à distance. Cependant, un utilisateur non technique ne pourrait pas accomplir cette tâche. Par conséquent, le stockage des mots de passe dans le navigateur est sans danger pour les personnes non techniques, mais inefficace contre les logiciels malveillants ou les utilisateurs techniques.
Le plus grand danger est d'avoir un navigateur sans mot de passe principal et de laisser votre ordinateur sans le verrouiller: n'importe qui peut alors rapidement prendre une photo de vos mots de passe stockés, cela ne prend que quelques secondes. Donc, l'évidence: verrouillez toujours votre ordinateur et définissez un mot de passe principal, ne réutilisez pas les mots de passe ou les modèles similaires ...
Cela dépend de votre plateforme.
Sous Linux Chrome utilise kwallet/gnome-keyring sur le bureau KDE ou gnome, qui devraient tous deux offrir une bonne sécurité. Sous OSX, il utilise le porte-clés OSX, qui a également une bonne sécurité. Sous Windows, ils implémenter leur propre stockage de mot de passe, qui n'est pas aussi sécurisé que les porte-clés du système sur l'autre OS.
Pour les faiblesses spécifiques de l'implémentation de Windows, voir les autres réponses.
Il est pratiquement certain qu'aucun mécanisme n'est sûr à 100%, mais certains mécanismes sont plus sûrs que d'autres. Au niveau le plus simple, un mot de passe long est plus sûr qu'un mot de passe court mais est plus difficile à mémoriser et à taper correctement. Ce que vous devez décider, c'est où se situe l'équilibre entre sécurité et facilité d'utilisation. Les gestionnaires de mots de passe sont une réponse si le rapport coût/risque vous convient.
Si vous ne faites confiance à aucun mécanisme qui stocke votre mot de passe sur votre ordinateur, une façon de contourner ce problème consiste à utiliser un algorithme pour en générer un pour vous chaque fois que vous en avez besoin. Il se trouve que j'utilise un petit programme qui implémente une variante de Playfair ( https://en.wikipedia.org/wiki/Playfair_cipher ) pour générer une partie de mon mot de passe pour un site donné - ce qui a l'avantage que je peux le créer à la main si je le dois. Cependant, évitez les algorithmes triviaux (comme inverser simplement les lettres dans un site Web).
De nombreuses entreprises vous demandent de changer périodiquement votre mot de passe. Auparavant, cela était standard, mais le GCHQ déconseille désormais cette pratique (voir https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ), pour le très raison pour laquelle vous mentionnez. Espérons que cette exigence deviendra moins courante au fil du temps.
Si vous craignez que quelqu'un accède à votre ordinateur portable pendant que vous êtes connecté (par exemple, vous l'utilisez au travail ou dans un lieu public et le laissez parfois sans surveillance, ou vous ne faites pas confiance à un membre de la famille), stocker le mot de passe dans un navigateur n'est pas une bonne solution. Si vous vous inquiétez des logiciels malveillants sur votre ordinateur (qui pourraient capturer votre saisie) ou des personnes qui voient ce que vous tapez, c'est assez sûr contre cela, et ce sont des préoccupations beaucoup plus courantes.