¿Mis contraseñas guardadas en Google Chrome son seguras cuando me desconecto?

Navega tus respuestas
9

Entiendo que Chrome utiliza el mecanismo de almacenamiento de contraseñas del sistema operativo para proteger las contraseñas en su computadora. 1 También entiendo que estas contraseñas pueden (en mi caso, están) protegidas con un frase de contraseña de mi elección, para sincronizarlos en la nube.

¿Son seguras mis contraseñas cuando no tengo sesión en mi cuenta local de Linux / Windows?

Existen medios tanto en Linux 2 como en Windows < a href="http://pogostick.net/~pnh/ntpasswd/"> 3 para borrar / cambiar las contraseñas de las cuentas de usuario. ¿Puede un atacante simplemente restablecer la contraseña de mi cuenta local, iniciar sesión en ella, abrir Chrome y poder usar mis contraseñas? ¿O el mecanismo de protección por contraseña del sistema operativo evita esto?

Hay varias fuentes que indican que Keyring / Windows DPAPI deriva la clave de descifrado del almacén de contraseñas de la contraseña de su cuenta. 4

¿La "sesión" de Google Chrome está protegida de la misma manera?

Simplemente tengo dudas de "confiar" en que todo es seguro sin entender lo que está pasando debajo del capó.

Se sentiría bien si Chrome me pidiera una contraseña maestra, pero no quieren implementar esa función. 5 Estoy de acuerdo con eso, como siempre que sepa que mis datos están protegidos por el inicio de sesión de mi cuenta del sistema operativo.

    
pregunta Jonathon Reinhart 03.01.2015 - 04:42
fuente

1 respuesta

7

En los casos en que una clave de almacenamiento de contraseña se deriva de la contraseña de la cuenta, es imposible obtener acceso mediante el restablecimiento forzoso de la contraseña de la cuenta. Cuando eso sucede, el almacén de contraseñas se cifra con una clave derivada de la contraseña. Descifrarlo requiere la contraseña; la contraseña no solo se usa para indicar al sistema operativo que tiene permiso para verla (como los permisos de archivos normales), es la única forma de descifrar la tienda, ya que la clave de descifrado no se almacena en ningún lugar del disco (se deriva siempre que usted ingresa su contraseña). Esa es la gran diferencia entre el cifrado y el control de acceso: el control de acceso generalmente se puede omitir porque se basa en que el sistema operativo le permite acceder a algo o no permitirlo, pero el cifrado no puede hacerlo porque la única forma de obtener los datos es algo que solo se encuentra en la cabeza del usuario.

El sistema operativo no conoce su contraseña : almacena un hash de la contraseña, pero no almacena la contraseña y no almacena la clave. Alguien que obtiene acceso a su cuenta de cualquier manera, excepto al ingresar su contraseña, no puede descifrar el almacén de contraseñas. Eso incluye restablecer la contraseña. Si lo cambia normalmente, el sistema operativo puede descifrar la tienda con la anterior (que suministró para iniciar sesión o para cambiar la contraseña) y guardarla con la nueva. Si lo cambia con herramientas de restablecimiento de contraseña, lo que hace el sistema operativo es sobrescribir el hash de la contraseña, pero no puede descifrar la tienda para volver a cifrarla. A veces mantiene la antigua en caso de que el usuario supiera su contraseña pero tuviera que restablecerla por alguna razón (en cuyo caso puede ingresarla la próxima vez que inicie sesión en su cuenta para cambiar la clave de cifrado), pero los datos permanecen. inaccesible hasta que se ingrese la contraseña original para descifrarla.

    
respondido por el cpast 03.01.2015 - 05:13
fuente

Lea otras preguntas en las etiquetas

token generado aleatoriamente contra token web JSON ¿El procedimiento de acción recomendado para prevenir Logjam en los servidores Tomcat realmente elimina todos los riesgos de las claves DH débiles?