Seberapa Aman Sandi Peramban Chrome Tersimpan Anda?
Pertanyaan umum tentang Google Chrome Browser adalah "mengapa tidak ada kata sandi utama?" Google telah (secara tidak resmi) mengambil posisi bahwa kata sandi utama memberikan rasa aman yang salah dan bentuk perlindungan yang paling layak untuk data sensitif ini adalah melalui keamanan sistem secara keseluruhan.
Jadi seberapa aman data sandi tersimpan Anda di dalam Google Chrome?
Melihat Kata Sandi Tersimpan
Chrome, termasuk pengelola kata sandi sendiri yang dapat diakses melalui Opsi> Barang Pribadi> Kelola kata sandi yang disimpan. Ini bukan hal yang baru dan jika Anda mengizinkan Chrome untuk menyimpan kata sandi Anda, Anda mungkin sudah mengetahui fitur ini.
Sentuhan kecil keamanan yang baik adalah Anda harus terlebih dahulu mengklik tombol tampilkan di sebelah setiap kata sandi yang ingin Anda lihat.
Meskipun tidak ada batasan untuk mengakses layar ini (yaitu jika Anda memiliki akses ke desktop tempat Chrome dipasang, Anda dapat membuka kata sandi), setidaknya ada intervensi pengguna yang diperlukan untuk melihat setiap kata sandi tanpa ada cara untuk mengekspornya secara massal ke file teks biasa.
Di mana Data Kata Sandi Disimpan?
Data kata sandi yang disimpan disimpan dalam database SQLite yang terletak di sini:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Data Masuk
Anda dapat membuka file ini (nama file hanya "Data Login") menggunakan SQLite Database Browser dan melihat tabel "login" yang berisi kata sandi yang disimpan. Anda akan melihat bidang "password_value" tidak dapat dibaca karena nilainya dienkripsi.
Seberapa Aman Data Terenkripsi?
Untuk melakukan enkripsi (pada Windows), Chrome menggunakan fungsi API yang disediakan Windows yang membuat data terenkripsi hanya dapat diuraikan oleh akun pengguna Windows yang digunakan untuk mengenkripsi kata sandi. Jadi pada dasarnya, kata sandi utama Anda adalah kata sandi akun Windows Anda. Akibatnya, setelah Anda masuk ke Windows menggunakan akun Anda, data ini dapat diuraikan oleh Chrome.
Namun, karena kata sandi akun Windows Anda adalah konstan, akses ke "kata sandi utama" tidak eksklusif untuk Chrome karena utilitas eksternal dapat mengakses data ini - dan mendekripsinya - juga. Menggunakan utilitas ChromePass yang tersedia secara bebas oleh NirSoft, Anda dapat melihat semua data kata sandi yang disimpan dan dengan mudah mengekspornya ke file teks biasa.
Jadi masuk akal bahwa jika utilitas ChromePass dapat mengakses data ini, malware yang berjalan sebagai pengguna masing-masing juga dapat mengaksesnya. Ketika ChromePass.exe diunggah ke VirusTotal, lebih dari setengah dari mesin anti-virus menandainya berbahaya. Sementara dalam kasus ini utilitasnya aman, agak meyakinkan untuk melihat bahwa perilaku ini paling tidak ditandai oleh banyak paket AV (meskipun Microsoft Security Essentials bukan salah satu dari mesin AV yang melaporkannya berbahaya).
Bisakah Perlindungan Diatasi??
Misalkan komputer Anda dicuri dan pencuri mereset kata sandi Windows Anda untuk dapat login ke instalasi Anda. Jika mereka kemudian mencoba untuk melihat kata sandi di Chrome atau menggunakan utilitas ChromePass, data kata sandi tidak akan tersedia. Alasannya sederhana karena "kata sandi utama" (yang merupakan kata sandi akun Windows Anda sebelum disetel ulang secara paksa di luar Windows) tidak cocok sehingga dekripsi gagal..
Selain itu, jika seseorang hanya menyalin file database SQLite kata sandi Chrome dan mencoba mengaksesnya di komputer lain, ChromePass akan menampilkan kata sandi kosong untuk alasan yang sama yang dijelaskan di atas..
Kesimpulan
Pada akhirnya, keamanan kata sandi yang disimpan Chrome sepenuhnya bergantung pada pengguna:
- Gunakan kata sandi akun Windows yang sangat kuat. Perlu diingat, ada utilitas yang dapat menguraikan kata sandi Windows. Jika seseorang mendapatkan kata sandi akun Windows Anda maka mereka memiliki akses ke kata sandi browser yang disimpan.
- Lindungi diri Anda dari malware. Jika utilitas dapat dengan mudah mengakses kata sandi yang disimpan, mengapa tidak bisa malware?
- Simpan kata sandi Anda dalam sistem manajemen kata sandi seperti KeePass. Tentu saja, Anda kehilangan kenyamanan karena peramban secara otomatis mengisi kata sandi Anda.
- Gunakan utilitas pihak ke-3 yang terintegrasi dengan Chrome dan menggunakan kata sandi utama untuk mengelola kata sandi Anda.
- Enkripsi seluruh hard drive Anda menggunakan TrueCrypt. Ini sepenuhnya opsional dan untuk pelindung ultra, tetapi jika seseorang tidak dapat mendekripsi drive Anda, mereka pasti tidak bisa mendapatkan apa pun darinya.
Intinya adalah hanya untuk menjaga sistem Anda aman dan kata sandi Chrome Anda juga harus cukup aman.
Unduh ChromePass dari NirSoft
Unduh SQLite Browser dari Sourceforge