سوال رایجی در مورد مرورگر گوگل کروم است که می پرسد: “چرا در این مرورگر یک رمز عبور اصلی برای دسترسی به رمز های عبور ذخیره شده توسط کاربر وجود ندارد؟” گوگل به طور غیررسمی به این سوال چنین پاسخ می دهد که یک رمز عبور کلیدی، احساس کاذبی از امنیت را برای کاربر فراهم می کند و بهترین و با دوام ترین شکل حفاظت از این اطلاعات حساس از طریق امنیت کلی سیستم رایانه حاصل می گردد.

بنابراین سوال این است که اطلاعات  مربوط به رمز عبورهای خود را که درون گوگل کروم ذخیره کرده اید واقعا چقدر امنیت دارند؟

مشاهده کلمات عبور ذخیره شده

کروم، ابزار مدیریت رمز عبور مخصوص به خود را دارد که از طریق منوهای Options > Personal Stuff > Manage saved passwords  (از چپ به راست) قابل دسترسی است. این چیز جدیدی نیست و اگر شما اجازه داده اید که کروم کلمات عبور شما را ذخیره کند، احتمالا در حال حاضر از این ویژگی آگاهی دارید.

نکته ظریف و خوب امنیتی در اینجا این است که شما ابتدا باید بر روی دکمه show  در کنار هر یک از رمزهای عبور که قصد مشاهده اش را دارید کلیک کنید تا از حالت کد شده به صورت کاراکتر به نمایش درآید.

در حالی که هیچ گونه محدودیتی برای دسترسی به این صفحه وجود ندارد (به عنوان مثال اگر شما دسترسی به کامپیوتر شخصی داشته باشید که روی آن کروم نصب شده است ، شما می توانید به قسمت مدیریت کلمات عبور وارد شوید)، حداقل نیاز به دخالت کاربر برای مشاهده هر یک از رمز عبور ها وجود دارد و خوشبختانه هیچ راهی برای اکسپورت کردن همگی رمزهای عبور به شکل یک فایل متنی ساده تعبیه نشده است.

داده های رمز عبورکجا ذخیره می شوند؟

دیتای مربوط به رمز های ذخیره شده در پایگاه داده SQLite واقع در این آدرس ذخیره می شوند :

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

شما می توانید این فایل را با استفاده از  برنامه SQLite Database Browser  باز کنید (نام فایل فقط ” Login Data ” هست)  و جدول  لاگ-این ها که که حاوی کلمات عبور ذخیره شده است را مشاهده نمایید. اگر دقت کنید متوجه خواهید شد که فیلد “password_value” غیر قابل خواندن (مشاهده) است  به این خاطر که ارزش مرتبط با آن رمزگذاری شده است.

داده های رمزگذاری شده چقدر امن است ؟

برای انجام رمزنگاری (در ویندوز) ، کروم از ابزار API ارائه شده توسط ویندوز بهره می گیرد که باعث می شود داده های رمزگذاری شده را تنها بتوان با همان حساب کاربری ویندوز که برای به رمز در آوردن اطلاعات رمز عبور استفاده شده بتوان رمز گشایی نمود. بنابراین اساسا، رمز عبور کلیدی و اصلی شما در کروم همان رمز عبور حساب ویندوز شما می باشد. در نتیجه ، وقتی که شما  به سیستم ویندوز با استفاده از اطلاعات حساب کاربری خود وارد شوید این داده ها توسط کروم رمز گشایی خواهد شد.

با این حال ، به این دلیل که رمز عبور حساب ویندوز ثابت است، دسترسی به “رمز عبور کلیدی” منحصر به کروم نیست چون برنامه های خارجی نیز می توانند به این داده  دسترسی یابند- و آن را رمزگشایی کنند- . برای مثال با استفاده از برنامه رایگان ChromePass  که از سوی شرکت NirSoft در دسترس کاربران قرار گرفته ، شما می توانید تمام داده های مربوط به رمز عبورهای ذخیره شده خود را ببینید  و به راحتی همه این داده ها را به فرمت یک فایل متنی ساده درآورید.

پس کاملا منطقی است که اگر ابزار ChromePass بتواند به این اطلاعات دسترسی داشته باشد، احتمال دهیم نرم افزارهای مخرب که پنهانی روی رایانه  کاربر فعال شده اند نیز بتوانند به این اطلاعات دسترسی پیدا کنند. جالب اینکه وقتی ChromePass.exe  را در سرویس VirusTotal برای بررسی خطرناک بودن این برنامه بارگذاری کردیم، فقط کمی بیش از نیمی از موتورهای ضد ویروس آن را به عنوان خطرناک طبقه بندی کردند. در حالی که در این مورد  این ابزار امن است و خطری را متوجه شما نمی سازد، توجه به این مسئله که رفتار این ابزار در دسترسی به اطلاعات مهم نتوانسته باعث حساسیت قریب به اتفاق  نرم افزارهای ضد ویروس شود بسیار تامل برانگیز است.( و متاسفانه برنامه ملزومات امنیتی مایکروسافت نیز یکی از موتورهای ضدویروسی بود که آن را به عنوان خطرناک گزارش نکرد!)

آیا حفاظت و امنیت دور زده می شود؟

فرض کنید کامپیوتر شما به سرقت رفته و فرد سارق رمز عبور ویندوز شما را به منظور ورود به ویندوز شما با همان تنظیمات شما، ریست می کند. اگر او متعاقبا سعی به مشاهده کلمات عبور در کروم کرده یا از ابزار ChromePass استفاده کند، در نیل به مقصود خود شکست خواهد خورد چرا که داده های رمز عبور در دسترس او نخواهد بود. دلیل این امر این نکته ساده است که رمز عبور “کلیدی” (که رمز عبور حساب ویندوز شما بوده است قبل از آنکه سارق با توسل به روش های خاص آن را از خارج از محیط ویندوز ریست کند) با آنچه در کروم ذخیره شده مطابقت ندارد به طوری رمزگشایی با شکست مواجه خواهد شد.

علاوه بر این ، اگر کسی خیلی سادگی فایل های درون پایگاه داده SQLite مربوط به رمز عبور کروم را کپی کرده و سعی کند به این اطلاعات روی یک کامپیوتر دیگر دسترسی داشته باشد ، ChromePass  به دلیلی که در بالا توضیح داده شد کلمه عبور خالی را نمایش خواهد داد!

نتیجه

پس از همه این بحث ها، امنیت کلمات عبور ذخیر شدده در  کروم کاملا به کاربر بستگی دارد:

مهم تر از همه سعی کنید از رمز عبور بسیار قوی برای حساب کاربری ویندوز خود استفاده کنید. به خاطر داشته باشید ، ابزارهایی وجود دارند که می توانند رمزهای عبور ویندوز را کشف کنند. اگر کسی رمز عبور حساب ویندوز شما را بداند در مرحله بعد می تواند به کلمات عبور ذخیره شده در مرورگر شما دسترسی یابد.

از سیستم خود در برابر نرم افزارهای مخرب محافظت کنید. اگر ابزارهای بی خطر به راحتی قادر به دسترسی به رمزهای عبور ذخیره شده شما هستند ، چرا نرم افزارهای مخرب قادر نباشند؟

کلمات عبور خود را در یک سیستم مدیریت رمز عبور مانند KeePass  ذخیره کنید. البته، در این حالت، سهولت پر کردن خودکار فیلد کلمات عبور  توسط مرورگر را از دست خواهید داد. اما امنیت بالاتری بدست خواهید آورد.

از ابزار های شخص ثالث که با کروم ادغام شده و قابلیت استفاده از یک رمز عبور کلیدی را به شما می دهد جهت مدیریت رمزهای عبور خود استفاده کنید.

کل هارد دیسک خود را با استفاده از  TrueCrypt  رمزنگاری کنید. این گزینه کاملا اختیاری و برای محافظ فوق العاده زیاد است ، اما اگر کسی نتواند درایوهای شما را رمزگشایی کند، قطعا نمی تواند هر چیزی دوست دارد از ان استخراج کند.

کلام آخر این است که هر چه سیستم خود را امن نگه دارید کلمات عبور ذخیره شده در مرورگر کروم نیز به همان میزان امن باقی خواهد ماند.

دانلود ChromePass از NirSoft

دانلود SQLite Browser  از SourceForge

منبع: HowtoGeek