Neukládejte si hesla do prohlížeče

Komentáře nejsou povolené u textu s názvem Neukládejte si hesla do prohlížeče

Spoustě lidem přijde jako fajn nápad, nechat webový prohlížeč, aby si za něj pamatoval hesla. Rád bych Vám ukázal, že to tak docela fajn není.

Natočil jsem proto krátké video o tom, proč si neukládat hesla ve webových prohlížečích. A nejde jen o ukázaný Chrome.

Proč je to tak snadné

Chrome má uložená hesla v souboru Login Data. Ten najdete v umístění:

C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default

Ve Windows používá Chrome funkce Data Protection API (DPAPI) a Triple DES které pro zašifrování souboru používají Vaše aktuální Windows heslo.

To znamená, že jakýkoliv program (nebo malware) běžící pod Vaším účtem si může hesla dešifrovat a přečíst. Právě takhle fungují programy jako ChromePass a ChromePasswordDecryptor. Pokud ukradnete účtu heslo, může je pak dešifrovat i jiný uživatel.

Vše je tak závislé na síle hesla do Vašeho Windows účtu. A i to je samozřejmě možné z napadeného systému získat.

Základem je tedy zajistit, že pod identitou Vašeho účtu nebude spuštěn nějaký malware, který si soubor z hesly dešifruje a pak je pošle útočníkovi.

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!

A není to jen o Chrome, stejně to funguje i na Firefoxu a dalších prohlížečích.

 

Pokud si nezamknete počítač

Jak psal Honza Pilař na LinkedIn

🏠 Když odcházíte z domu, tak jej zamknete. 
🚗 Když odcházíte od auta, tak jej zamknete.
💻 Když odcházíte od počítače, tak jej…

🔒 ZAMKNĚTE ‼️

Win+L -> Není zač

Pokud si nezamknete komp a někam odejdete, může k němu někdo přijít a uložené heslo do libovolné služby zjistit i přímo z browseru, aniž by měl k dispozici jakýkoliv speciální software. Protože aby si hesla v Chrome (a dalších) v nastavení otevřel, potřeboval by heslo, které nezná, udělá to chytřeji. Chyba je právě v předvyplnění hesla do příslušných polí.

Pole “password” se v browseru vytečkuje, takže nikdo heslo nevidí, jen tečky. Jenže stačí zmáčknout klávesu F12, čímž se otevře vývojářská konzole.

Zde najdeme pole s heslem a změníme type=”password” na type=”text”.

Magicky se změní vlastnosti pole a protože už nemá vlastnost password, heslo se nám v plné kráse odkryje.

Easy peasy, lemon squeezy. 🙂

Tohle je přesně důvod, proč byste měli používat dedikovaného správce hesel – ten ukládá hesla v separátním šifrovaném souboru a výše popsaným způsobem vykrást nejde. Já osobně doporučuji Bitwarden – je zdarma a česky. Více o něm se dozvíte v samostatném článku: https://www.spajk.cz/bitwarden-spravce-hesel-zdarma/

 

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!