Spoustě lidem přijde jako fajn nápad, nechat webový prohlížeč, aby si za něj pamatoval hesla. Rád bych Vám ukázal, že to tak docela fajn není.
Natočil jsem proto krátké video o tom, proč si neukládat hesla ve webových prohlížečích. A nejde jen o ukázaný Chrome.
Proč je to tak snadné
Chrome má uložená hesla v souboru Login Data. Ten najdete v umístění:
C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default
Ve Windows používá Chrome funkce Data Protection API (DPAPI) a Triple DES které pro zašifrování souboru používají Vaše aktuální Windows heslo.
To znamená, že jakýkoliv program (nebo malware) běžící pod Vaším účtem si může hesla dešifrovat a přečíst. Právě takhle fungují programy jako ChromePass a ChromePasswordDecryptor. Pokud ukradnete účtu heslo, může je pak dešifrovat i jiný uživatel.
Vše je tak závislé na síle hesla do Vašeho Windows účtu. A i to je samozřejmě možné z napadeného systému získat.
Základem je tedy zajistit, že pod identitou Vašeho účtu nebude spuštěn nějaký malware, který si soubor z hesly dešifruje a pak je pošle útočníkovi.
🤖 Tenhle web je bez reklam! 🤖 💸 Nesbírám a neprodávám data návštěvníků. 💸 🕵️♂️ Respektuji Vaše soukromí. 🕵️♂️ 🌎 Píšu pro dobro lidstva. 🌎 ❤️ Líbí se Vám článek? ❤️
A není to jen o Chrome, stejně to funguje i na Firefoxu a dalších prohlížečích.
Pokud si nezamknete počítač
Jak psal Honza Pilař na LinkedIn –
🏠 Když odcházíte z domu, tak jej zamknete.
🚗 Když odcházíte od auta, tak jej zamknete.
💻 Když odcházíte od počítače, tak jej…
🔒 ZAMKNĚTE ‼️
Win+L -> Není zač
Pokud si nezamknete komp a někam odejdete, může k němu někdo přijít a uložené heslo do libovolné služby zjistit i přímo z browseru, aniž by měl k dispozici jakýkoliv speciální software. Protože aby si hesla v Chrome (a dalších) v nastavení otevřel, potřeboval by heslo, které nezná, udělá to chytřeji. Chyba je právě v předvyplnění hesla do příslušných polí.
Pole „password“ se v browseru vytečkuje, takže nikdo heslo nevidí, jen tečky. Jenže stačí zmáčknout klávesu F12, čímž se otevře vývojářská konzole.
Zde najdeme pole s heslem a změníme type=“password“ na type=“text“.
Magicky se změní vlastnosti pole a protože už nemá vlastnost password, heslo se nám v plné kráse odkryje.
Easy peasy, lemon squeezy. 🙂
Tohle je přesně důvod, proč byste měli používat dedikovaného správce hesel – ten ukládá hesla v separátním šifrovaném souboru a výše popsaným způsobem vykrást nejde. Já osobně doporučuji Bitwarden – je zdarma a česky. Více o něm se dozvíte v samostatném článku: https://www.spajk.cz/bitwarden-spravce-hesel-zdarma/
🤖 Tenhle web je bez reklam! 🤖 💸 Nesbírám a neprodávám data návštěvníků. 💸 🕵️♂️ Respektuji Vaše soukromí. 🕵️♂️ 🌎 Píšu pro dobro lidstva. 🌎 ❤️ Líbí se Vám článek? ❤️