Autor by se rozčiloval, kdyby to někde jinde bylo řešené lépe, zatímco je to všude řešeno stejně. Takže autor nemá tak úplně jasno jestli je opravdu tak obrovský průser nebo není. Osobně si myslí, že to není tak obrovský průser, protože když už se mi někdo dostane k počítači, tak možnost přečíst si uložená hesla je většinou dost irelevantní - ten kdo u mého počítače sedí se totiž do těch služeb dostane rovnou a převzít identitu může rovnou, bez nutnosti lovit uložené heslo.
Stačí jenom trochu přemýšlet, jak ty mechanismy vlastně fungují. A pak LZE pochopit, proč se k tomu Google staví jak se staví. Byť by samozřejmě asi bylo dobré, kdyby Master Password bylo v Chrome možné zapnout, stejně jako je to u Firefoxu. Ale i tam to není zapnuté od přírody :)
Předpokládám, že Firefox při užití master password přihlašovací údaje šifruje. Tedy pak se k nim nelze snadno dostat spuštěním neslušné aplikace. Obecně platí, že hesla se nemají nikde válet v plaintextu. Pokud chrome nemá možnost hesla šifrovat, tak je to chyba a proti Firefox mínus...
Jaká je alternativa? Master heslo? První program, který (právoplatný) uživatel spustí, je internetový prohlížeč, zadá master heslo -- a jsme tam, kde jsme byli.
A i bez toho, pár vteřin u cizího nezamčeného PC stačí na to, abych si databázi hesel zkopíroval, a pak už ji louskal v klidu někde jinde. Stačí to na to, abych nešifrovaný provoz prohlížeče přesměroval na svůj server, kde si na ta hesla jednoduše počkám (a nejen na ta uložená).
Pokud se mi někdo dostane k seznamu hesel přes zpřístupněný Chrome, pak si hesla opíše a dále už je může použít odkudkoliv. Irelevantní to tedy určitě není. Pokud nechám někde trvale otevřený chrome, pak má většinou útočník omezený čas na to aby převzal moji identitu. Poté musí místo napadení opustit. Se získanými hesly mu ale nic nebrání otevřít si zaheslované weby odkudkoliv s ukradenými hesly a po neomezený čas. Má navíc reálnou šanci, že se dostane i do samotného chrome nebo na jiné weby, které nejsou součástí seznamu hesel v nastavení chrome a to z prostého důvodu, že mnoho uživatelů používá na na různé weby a služby jedno nebo pár stejných hesel. To jedno nebo těch pár získá z chrome a pak se nabourá kamkoliv prostým zkoušením.
Hesla v jakémkoliv systému jsou zabezpečena až tehdy pokud k nim nemá přístup ani samotný správce serveru. Ten má uložena hesla pouze v šifrovaném stavu a pokud uživatel heslo zapomene je možný pouze reset hesla po kterém si uživatel nastaví heslo znovu a to se uloží opět šifrovaně. Zde ale Chrome působí coby služba, která zneužije důvěry svých uživatelů a vydoluje z nich hesla na cizí služby tak, aby šla přečíst v případě hrubého útoku i v otevřeném tvaru. To je bezpečnostní riziko jako sviňa.
Google by měl tuto funkci okamžitě zrušit. Ani heslo na otevření hesel není řešení. Hesla by měla být prostě stále pod hvězdičkami. Pokud chce uživatel znát uložené heslo na svůj web, měl by primárně požádat o reset hesla u konkrétní služby, kde heslo zapomněl a nelézt do nastavení chrome, aby si jej připomněl. Google tak neškodí jen bezpečnosti uživatele ve vztahu k své službě ale narušuje touto zhovadilostí bezpečnost mnoha dalších služeb jiných stran, které uživatel využívá.
Předpokládám, že Firefox při užití master password přihlašovací údaje šifruje.
- Ano. http://luxsci.com/blog/master-password-encryption-in-firefox-and-thunderbird.html
"převzít identitu může rovnou"
- Ano, v případě, že jste pořád někam přihlášený, ale: NA JEDNU JEDINOU SESSION.
Je to stejné, jako odposlechnutí session cookies (pokud je samozřejmě alespoň přihlášení a změna hesla přes TLS) - a to ještě v případě, kdy se aplikace v kódu nebrání (pomocí regenerace session id nebo provázání s IP např.).
Ale notak, pokud je uložené heslo, tak je to totéž, jako když nejsem odhlášen. Prostě to otevře, vyplní se heslo, přihlásí se. A už může dělat co chce. Je jedno jestli si to heslo přečte očima, nebo to tam ten prohlížeč zadá sám.
Přece heslo co prohlížeč vyplní sám nepotřebuju znát, abych ho použil. A klíčové tam je prostě jenom to, že někdo získal přístup k mému počítači.
Je zajímavé, že autor článku by se jistě rozčiloval, kdyby narazil na aplikaci (nebo dokonce na OS), která/ý by umožnil změnu hesla bez znalosti původního, a přitom jde o stejnou primitivní příčinu a důsledek (pár vteřin u cizího nezamčeného PC, a nabourání nebo převzetí identity).
Master heslo nic neřeší. Zapomenu heslo ? NECHCI HO PROBOHA OD NĚKOHO PŘIPOMÍNAT V OTEVŘENÉM TVARU. Dokonce ani sám od sebe z nastavení chrome protože mi do přihlášeného chrome může někdo vlézt. Pokud heslo zapomenu požádám příslušný server o jeho reset, nastavím si heslo nové a jedu dál.
Win8 umí zadávané heslo zobrazit - zrovna nedávno se mi to hodilo, když se mi zasekla jedna klávesa a já už panikařil z toho, že ani na 10. pokus se nemůžu přihlásit :)
Zrušit hvězdičky trvale ale podle mě není dobrý nápad, to by kterýkoli "kolemjdoucí" heslo snadno okoukal.
Pravda. Všem říkám, ať to nedělají, a tuto funkci jsem si tedy teď v mozku nedostatečně poskládal :-)
Ale pořád je něco jiného znalost hesla, a "jen" přihlášení se s ním. Takový vteřinový "útočník" spíš nebude mít čas se zabývat aplikacemi nad sosáním hesel za hvězdičkama nebo prostým debuggováním přihlášení, protože i to je přece jenom vyšší level než ten nultý, zobrazit si je. Přihlásit se někam postupně, a tam rarašit, a nebo si pár kliknutími myší pro přehled zviditelnit všechno, a to tedy i pro budoucnost, aniž bych musel jakkoliv dál hnout brvou, je prostě rozdíl.
Speciálně u Chromu to ale není žádný překvapení. Ten neumožňuje nastavit nic, kromě prohlížení stránek i neumí nic, takže by bylo fakt překvapení, kdyby umožnil nastavit něco, nebo dokonce i něco uměl (než se cpát BFU s právy Users do jejich profilové složky, na čemž rejžuje počty stažení a kecy o největší rozšířenosti, byť admini daná PC spravující z toho mají osypky to furt od tohoto kvalitativního plevelu čistit).
Právě proto, že by mělo být normální počítač zamykat (pokud je v okolí někdo, kdo by jej mohl zneužít), není důvod řešit hesla extra v prohlížeči.
U HTTPS přesměrování nepomůže, ale zrovna Chrome se běžně instaluje v rámci uživatelského účtu, takže není problém během chvilky vyměnit uživateli celý Chrome.
Klíčová otázka je, proti komu/čemu by to mělo chránit. Proti cílenému útoku to nijak nepomůže, jedině proti nějakému x-letému kloučkovi, který si myslí, jaký je hacker, když umí rychle klikat. A takového bych ke svému účtu nepustil, ani kdyby ta hesla z Chrome tak snadno získat nešlo.
Já bych naopak ocenil, kdyby bylo rovnou součástí systémových komponent to, že v políčku pro zadání hesla můžu heslo snadno zobrazit, případně že můžu rovnou pro celý systém zrušit maskování hesel. Podle mne je to dnes přežitek, zvlášť u tabletů a mobilů.