Thứ Sáu, 16 tháng 8, 2013

Ngăn người khác xem trộm password lưu trên trình duyệt chrome,Firefox, Internet Explorer

Một câu hỏi chung về trình duyệt Google Chrome là “tại sao không có chức năng master password (mật khẩu chính)?” Theo thông tin (không chính thức) từ Google thì việc sử dụng mật khẩu chính cho trình duyệt sẽ làm cho người dùng có cảm nhận sai lệch về bảo mật, và phương pháp khả thi nhất để bảo vệ dữ liệu là thông qua hệ thống an ninh tổng thể.

Vậy chính xác là làm thế nào để bảo mật cho những dữ liệu password của bạn được lưu trên Google Chrome?

Xem password đã lưu


Chrome bao gồm một trình quản lý mật khẩu và người dùng có thể truy cập thông qua Options Personal Stuff Manage saved passwords. Điều này không có gì mới bởi chỉ cần bạn từng cho phép Chrome lưu lại mật khẩu của mình, có thể bạn đã biết đến tính năng này.

Theo mặc định, để đảm bảo an ninh cho mật khẩu Chrome sẽ hiển thị chúng dưới dạng dấu *, để xem được bạn chỉ cần kích vào nút Show trước mỗi password cần xem.

Bảo mật Passwords đã lưu trên Google Chrome

Bảo mật Passwords đã lưu trên Google Chrome

Bởi vì không có hạn chế nào cho sự truy cập, nên chỉ cần ai đó sử dụng máy tính có cài đặt Chrome là họ sẽ xem được những password này. Tuy nhiên bạn chỉ có thể xem chúng mà không có cách nào export ra tập tin khác được.

Dữ liệu password được lưu ở đâu?


Những dữ liệu Mật khẩu được lưu trong một cơ sở dữ liệu SQLite có đường dẫn như sau:

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

Bạn có thể mở tập tin này (có tên “Login Data”) bằng cách sử dụng SQLite Database Browser và xem bảng “logins”, tại đây chứa các password được bạn ấn Save. Tuy nhiên trường “password_value” đã được mã hóa nên bạn không thể xem được.

Bảo mật Passwords đã lưu trên Google Chrome

Bảo mật cho dữ liệu được mã hóa


Để thực hiện việc mã hóa (trong Windows), Chrome sử dụng chức năng Windows provided API. Các dữ liệu được mã hóa chỉ có thể đọc được bởi tài khoản người dùng Windows đã sử dụng để làm việc này. Do đó, về cơ bản mật khẩu chính là mật khẩu tài khoản Windows của bạn. Muốn xem được vùng dữ liệu này bắt buộc phải đăng nhập vào Windows bằng cùng một tài khoản.

Tuy nhiên, do mật khẩu tài khoản Windows là một hằng số, việc truy cập vào “master password” không phải là độc quyền của Chrome nên những tiện ích bên ngoài vẫn có thể nhận dạng được dữ liệu này và giải mã chúng.

Với tiện ích có sẵn ChromePass của NirSofft bạn có thể nhìn thấy toàn bộ dữ liệu mật khẩu được lưu và dễ dàng export chúng ra tập tin văn bản đơn giản.

Bảo mật Passwords đã lưu trên Google Chrome

Vì vậy tạo cho người dùng cảm giác rằng nếu tiện ích ChromePass có thể truy cập dữ liệu thì những phần mềm độc hại khác cũng có thể chạy bình thường và tài khoản người dùng khác cũng có thể truy cập mọi dữ liệu. Khi ChromePass.exe được tải lên VirusTotal, chỉ có hơn một nửa phần mềm anti-virus gán cờ “nguy hiểm”.

Sự bảo vệ có thể bị phá vỡ?


Giả sử máy tính của bạn chẳng may bị mất cắp và kẻ chộm đã sử dụng phần mềm để reset lại mật khẩu của Windows để trở về trạng thái đăng nhập nguyên bản. Nếu sau đó họ cố gắng để xem các password trong Chrome hoặc sử dụng tiện ích ChromePass thì dữ liệu sẽ không được cung cấp. Nguyên nhân đơn giản là do “master password” (với mật khẩu tài khoản Windows được ưu tiên để tự reset nó bên ngoài Windows) không phù hợp để giải mã.

Bảo mật Passwords đã lưu trên Google Chrome

Ngoài ra, nếu ai đó sao chép mật khẩu Chrome từ cơ sở dữ liệu SQLite và cố gắng truy cập vào nó trên máy tính khác, ChromePass sẽ hiển thị một mật khẩu trống với lý do tương tự như trên.

Bảo mật Passwords đã lưu trên Google Chrome

Kết luận


Suy cho cùng, việc bảo mật cho các mật khẩu lưu trên Chrome hoàn toàn dựa vào chính người dùng nó.

  • Sử dụng mật khẩu thật mạnh cho tài khoản Windows. Hãy nhớ rằng có những tiện ích có thể giải mã mật khẩu Windows, nếu ai đó có được mật khẩu này họ sẽ có quyền truy cập vào mật khẩu lưu trên trình duyệt của bạn.

  • Tự bảo về mình khỏi những phần mềm độc hại. Nếu tiện ích nào đó có thể dễ dàng truy cập vào mật khẩu đã lưu, vậy tại sao các phần mềm độc hại lại không thể?

  • Lưu trữ mật khẩu của mình trên hệ thống quản lý mật khẩu như KeePass. Tất nhiên bạn sẽ mất đi sự tiện lợi khi trình duyệt tự động điền giúp những mật khẩu này.

  • Sử dụng một tiện ích của bên thứ ba có tích hợp với Chrome và sử dụng một mật khẩu chính để quản lý.

  • Mã hóa toàn bộ ổ đĩa cứng bằng ứng dụng như TrueCrypt. Đây là giải pháp “siêu bảo vệ” cho toàn bộ dữ liệu của bạn.


Ngăn người khác xem trộm password lưu trên trình duyệt


Nếu bạn lưu lại mật khẩu trong trình duyệt (Chrome, Firefox hoặc Internet Explorer…), bất cứ ai truy cập máy tính bằng tài khoản của bạn cũng có thể xem những mật khẩu này.

Password lưu trên máy tính của bạn có thể bị người khác xem bằng cách nào?

Khi người khác truy cập máy tính qua tài khoản người dùng của bạn, họ có thể mở trang Settings của trình duyệt Chrome (hoặc mở nhanh tại chrome://settings/passwords), vào mục Password.

Ở phần “Saved password”, chọn một mật khẩu và nhấn nút “Show”, mật khẩu đó sẽ lộ ra.

1.jpg

Với trình duyệt Firefox, họ có thể mở cửa sổ Options (Tool > Options), chọn mục “Security”, nhấn vào nút “Saved Passwords”, họ có thể thấy một danh sách tất cả các mật khẩu mà bạn lưu trong trình duyệt Firefox trên máy tính.

2.jpg

Firefox cho phép bạn cài đặt “master password” – một mật khẩu chính phải được nhập vào trước khi ai đó có thể xem hoặc sử dụng các mật khẩu đã lưu. Tuy nhiên, tính năng này bị tắt theo mặc định và Firefox không nhắc nhở người dùng tạo master password.

Internet Explorer không tích hợp sẵn cách để xem các mật khẩu đã lưu. Tuy nhiên, với một tiện ích như IE PassView, bạn có thể xem tất cả các password đã được lưu trên IE của tài khoản người dùng hiện tại.

3.jpg

Cách bảo vệ những mật khẩu lưu trong trình duyệt

Nếu lo lắng về những mật khẩu đã lưu trên trình duyệt, bạn có thể sử dụng một vài thủ thuật sau để bảo vệ chúng khỏi những cặp mắt tò mò.

Sử dụng một trinh quản lý mật khẩu chuyên dụng, ví dụ như LastPass. Trình quản lý mật khẩu này hoạt động với mọi trình duyệt và cung cấp một master password có tác dụng chặn truy cập mật khẩu đã lưu một khi bạn đã đăng xuất. Các nhà phát triển trình duyệt Chrome có thể không muốn cung cấp tính năng master password, nhưng bạn có thể bổ sung tính năng này bằng cách sử dụng Lastpass thay cho trình quản lý mật khẩu mặc định của Chrome.

4.jpg

Nếu dùng trình duyệt Firefox, hãy kích hoạt tính năng master password (theo mặc định, tính năng này bị tắt). Để kích hoạt, mở cửa sổ “Options”, vào mục “Security”. Ở phần “Password”, đánh dấu vào ô vuông trước “Use a master password”. Bạn sẽ được yêu cầu tạo master password. 

5.jpg

Master password cho phép bạn “khóa” cơ sở dữ liệu password với một mật khẩu chính duy nhất. Do đó, bạn có thể dùng chung tài khoản máy tính với những người khác mà không lo bị họ xem mất mật khẩu (tất nhiên trừ khi kẻ xấu thực sự có ý định lấy trộm mật khẩu của bạn và cài đặt các phần mềm theo dõi thao thác gõ bàn phím).

Nếu bạn dùng Chrome hoặc Internet Explorer và muốn tiếp tục dùng trình quản lý mật khẩu tích hợp sẵn của trình duyệt, hãy chắc chắn bạn đã thực hiện các biện pháp bảo mật cần thiết. Ví dụ, hãy thiết lập một mật khẩu có độ mạnh cao cho tài khoản người dùng máy tính của bạn và khóa máy tính mỗi khi tạm dừng sử dụng.

 

 

0 nhận xét:

Đăng nhận xét