Пароли в браузере: дыра by design

Встроенные в браузеры менеджеры паролей до сих пор пользуются большой популярностью, так как они максимально просты и удобны в использовании.

Однако все популярные браузеры создают лишь мнимую видимость безопасного хранения, на деле же всё крайне грустно. Сегодня разбираем три основные причины никогда не использовать встроенные менеджеры паролей.

1. Пароли по умолчанию не защищены. Пароли в Chrome, Firefox и Edge хранятся в зашифрованных локальных базах данных, однако ключи к этим базам хранятся в относительно доступных местах. Продвинутые вредоносы давно научились расшифровывать БД с паролями на машине жертвы и отправлять их в удобном для хакера виде. А если мы говорим об оффлайн криминалистике, то уровень безопасность паролей стремится к нулю. Самое интересное, что ни одна компания об этом, конечно, не предупреждает.

2. Сомнительная синхронизация. Если вы пользуетесь встроенной синхронизацией, то ваши пароли хранятся в неизвестном виде на серверах корпораций. Но вам, конечно, скажут, что пароли на серверах надёжно зашифрованы. Верим. Очевиден и тот факт, что даже при выключенной синхронизации вы не застрахованы от слива паролей на серверы компаний.

3. Отсутствие дополнительных функций: проверки сложности — энтропии — пароля, проверки пароля на наличие в утечках, продвинутого генератора и дополнительных заметок к записям.

На гитхабе есть большое количество Python-скриптов, которые с помощью незамысловатого порядка действий и пары модулей для работы с криптографией помогают получить доступ к паролям, сохранённым в браузере. К примеру, вот скрипты, работа которых проверена на Windows: для Chrome; для Firefox.

ИМХО: Хранить пароли в браузере — это, конечно, удобно. Однако безопасность не бывает простой, а мы в очередной раз убедились в том, что если не позаботиться о сохранности своих данных — никто за вас этого не сделает. Stay tuned encrypted!

Свежее