Get Mystery Box with random crypto!

Чи вразливі менеджери паролів в браузерах? В попередніх поста | Wild Wild Web

Чи вразливі менеджери паролів в браузерах?

В попередніх постах я написав велике полотно про те, що треба користуватись менеджерами паролів, для того, щоб зберігати свої паролі. В коментарях згадали про вбудовані менеджери паролів в браузерах і я б хотів більш розгорнуто поговорити тепер про них.

Менеджери паролів в браузерах недостатньо захищені
Так, все вірно. Це може здатись декому дуже категоричною заявою, але це так. Спробуймо розібратись, чому саме, та як саме хакер зможе дістати ваші паролі в ситуації з браузерним менеджером паролів.

Браузер зберігає паролі в зашифрованому вигляді?
Коли ви створюєте акаунт на якомусь сервісі та натискаєте "Зберегти пароль" в браузері, він не зберігається в зашифрованому вигляді. Більш того, ви можете піти в налаштування браузера та подивитись всі ці паролі й ніхто у вас не спитає ваш ключ для дешифрування, бо, очевидно, його немає. По замовчуванню, браузери не запитують у вас ключ для шифрування чи дешифрування сховища з паролями, що робить його вразливим.

То як дістати паролі, якщо я умовний хакер?
Розташування цих сховищ також відоме і при доступі до вашої машини, ці паролі можна буде дістати в чистому вигляді, як вони там і зберігаються.

Хакери навіть розробили скрипти для цього, які дозволяють в автоматичному режимі просканувати систему на наявність сховищ з паролями із браузерів і видасть вам список з акаунтів та паролів, якщо такий знайдеться.

Я зараз нікого не накручую і не драматизую, так і є. Якщо ви отримуєте доступ до машини, то витягнути паролі з браузера це питання запуску одного скрипту.

Але ж є нюанси? Звісно, є!
По перше, хакеру треба отримати доступ до вашої машини. Неважливо як саме він це зробить. Чи через фішингову атаку, чи через вразливості якихось сервісів на вашій машині, чи банально вкраде його, а ви не маєте пароля на ньому (і таке буває).

По друге, в залежності від комбінацій операційної системи та браузера, там по різному відбувається цей процес.

Наприклад, якщо взяти Firefox на Windows, то там дійсно питання запуску одного скрипту. Тому якщо ви користуєтесь Firefox-ом, то я б радив поставити Master Password для сховища.

Але якщо взяти MacOS та Safari, то внаслідок тісної звʼязки з Apple ID, це вже складніше. Деталей я не знаю, я думаю, що вони використовують якісь ключі, які згенеровані під ваш Apple ID. Ну і факт того, що при спробі подивитись збережені паролі, він у вас запитує пароль від вашого локального акаунту, то щось таке там дійсно є.

Якщо взяти Chrome та Windows, то там начебто в ролі ключа для шифрування використовується пароль від вашого Google акаунта в браузері. Підозрюю, що така ж логіка і на MacOS. Що також ускладнює процес.

Є ще один спосіб, як це можна зробити
Якщо з захистом не все так погано і там є ключі та оце все, все ще можна спробувати дістати паролі через дамп процесу з браузером. Знову ж таки, якщо хакер отримав доступ до вашої машини, а у вас запущений браузер, то можна спробувати зробити дамп процесу разом з пам'яттю і вже потім можна буде знайти в дампі паролі. Для цього також є інструменти, які допомагають з цим.

В якій ситуації я б сказав, що цей пост неактуальний?
Я відмовлюсь від цієї позиції та цих слів, коли браузери почнуть питати ключ для шифрування сховищ з паролями, а не просто по замовчуванню будуть зберігати його в чистому вигляді. Ну або, хоча б, попереджували користувачів, коли їх паролі зберігаються в незахищеному сховищі.

Чим виграють менеджери паролів?
Вони по замовчуванню працюють тільки через Master Password і по другому ніяк. Тобто ви із коробки отримуєте enforcement того, що сховище буде зашифроване вашим ключем, який ви створили.

Чи є десь курс про цю тему?
Так, є курс на цю тему, але я чесно не памʼятаю як він називався. Це було з академії на Hack The Box, де показувались практичні кейси, на яких ви отримували паролі із браузерів. В тому числі скрипти, які витягують це все в автоматичному режимі.

Епілог
Наголошу ще раз, що багато відіграє саме те, який браузер використовується та на якій ОС та чи є Master Password. В одній комбінації може бути все погано, а в другій — нормально.
Наступне повідомлення
telegram-store.com © 2016-2024
Non official site about Telegram
Всі права захищені. Копіювання та використання матеріалів повністю заборонено, часткове цитування можливе лише з гіперпосиланням на сайт telegram-store.com.