ब्राउज़र में पासवर्ड मैनेजर कितना सुरक्षित है?


13

उदाहरण के लिए, ओपेरा में एक "छड़ी" सुविधा है जो उपयोगकर्ता के नाम और पासवर्ड को याद करती है जिसे आपने विभिन्न साइटों पर टाइप किया था।

मान लीजिए कि आपको ट्रोजन मिलता है, जो आपके पीसी से डेटा चुराता है। क्या ट्रोजन ब्राउज़र द्वारा संग्रहीत पासवर्ड को डिक्रिप्ट कर सकता है, और उनका उपयोग कर सकता है?

जवाबों:


4

बॉब के जवाब में उल्लेखित बिंदु सभी मान्य हैं, इसलिए मैं उन्हें दोहराने से परेशान नहीं करूंगा; हालाँकि, मुझे लगा कि थोड़ी अतिरिक्त जानकारी कुछ लोगों के लिए भी उपयोगी हो सकती है, क्योंकि आपका प्रश्न एक वैध चिंता का विषय है।

  • ओपेरा की वैंड सुविधा आपको यह निर्दिष्ट करने की अनुमति देती है Preferences > Advanced > Security > Ask for passwordकि "एक बार प्रति सत्र" (जो कि बॉब सही रूप से इंगित करता है, आपकी सुरक्षा को सीमित करता है), "हर एक्स मिनट / घंटे" (यदि आप डॉन करते हैं) जैसे चयन के साथ अपने मास्टर पासवर्ड के लिए पूछें .iniफ़ाइलों के साथ फ़िदा होना , आप अपनी स्वयं की आवृत्ति को अनुकूलित कर सकते हैं), और "हर बार आवश्यक" (जाहिर है कि आपके ब्राउज़िंग सत्र के दौरान आपके पासवर्ड के रूप में सबसे सुरक्षित विकल्प मेमोरी में संग्रहीत नहीं किया जाएगा)। मैं फ़ायरफ़ॉक्स का उपयोग नहीं करता हूं, लेकिन कल्पना कर सकता हूं कि एक समान एक्सटेंशन कहीं उपलब्ध है।

  • वैंड डेटा नामक एक फ़ाइल में संग्रहीत किया जाता है, इसके लिए प्रतीक्षा करें, wand.datएक प्रारूप में जिसे अपेक्षाकृत कम प्रयास के साथ डिक्रिप्ट किया जा सकता है यदि कोई मास्टर पासवर्ड उपयोग नहीं किया जाता है; यदि आप एक मास्टर पासवर्ड का उपयोग करते हैं, तो यह एक यादृच्छिक घटक और एक एल्गोरिथ्म के साथ आपके मास्टर पासवर्ड का उपयोग करके एन्क्रिप्ट किया जाता है जो वर्तमान में मुझसे बच जाता है (हालांकि देखने में आसान होना चाहिए)।

  • यदि आप किसी साइट के लिए पासवर्ड का उपयोग करते हैं जिसकी सुरक्षा आपके लिए औसत लॉगिन से अधिक महत्वपूर्ण है, तो आप बस पासवर्ड को बचाने के लिए नहीं चुन सकते हैं

  • ओपेरा में निजी टैब (या अन्य ब्राउज़रों में उनके समकक्ष) आपको उस टैब के सत्र डेटा को "सामान्य" टैब से अलग से संग्रहीत करने की अनुमति देते हैं, जो सुरक्षा की एक और परत जोड़ सकते हैं।

  • क्रोम और उसके डेरिवेटिव (यानी एक अलग थ्रेड में प्रत्येक टैब को सैंडबॉक्सिंग) में प्रयुक्त सुरक्षा मॉडल आपको और भी अधिक सुरक्षा प्रदान करता है।

  • आप keyloggers और नियमित रूप से इस तरह के खिलाफ रख सकते हैं:

    • अपने एंटी-वायरस और फ़ायरवॉल सॉफ़्टवेयर को अपडेट करना; तथा
    • अपने पासवर्ड बदल रहा है।

सारांश में:

  • आपके ब्राउज़र की सुरक्षा का स्तर और आपके लॉगिन काफ़ी हद तक आपके ऊपर है

  • किसी को बहुत कुशल और साधन संपन्न किया गया था, वे शायद अंत में अपने डेटा पर मिल सकता है के बावजूद सब से ऊपर सावधानियों, लेकिन यह होगा अपने ब्राउज़र का डेटा कहीं अधिक सुरक्षित बनाने और परिष्कार के स्तर उठाएंगे यह काफी दरार करने की आवश्यकता है।


22
  • यदि आपके कंप्यूटर पर मैलवेयर है, तो कोई भी पासवर्ड दर्ज नहीं किया गया है या उस पर संग्रहीत नहीं किया जा सकता है। यहां तक ​​कि एन्क्रिप्टेड पासवर्ड जैसे कि कीपास डेटाबेस, जैसे ही आप इसे डिक्रिप्ट करने के लिए आवश्यक विवरण दर्ज करते हैं, हमलावर आपके पासवर्ड को पुनः प्राप्त कर सकता है।

  • ब्राउज़र आमतौर पर सहेजे गए पासवर्ड की सुरक्षा पर बहुत ध्यान नहीं देते हैं, कम से कम डिफ़ॉल्ट सेटिंग्स के साथ नहीं।


मान लीजिए कि आपको ट्रोजन मिलता है, जो आपके पीसी से डेटा चुराता है। क्या ट्रोजन ब्राउज़र द्वारा संग्रहीत पासवर्ड को डिक्रिप्ट कर सकता है, और उनका उपयोग कर सकता है?

एक शब्द में: हाँ ब्राउज़र आमतौर पर याद किए गए पासवर्ड को एन्क्रिप्ट नहीं करते हैं, इसलिए उन्हें तुच्छ प्रयास के साथ पढ़ा जा सकता है। संग्रहीत कुंजी के साथ एन्क्रिप्शन वैसे भी बेकार है: यदि ब्राउज़र इसे डिक्रिप्ट करने में सक्षम है, तो उसी कंप्यूटर पर चलने वाले अन्य प्रोग्राम भी ऐसा कर सकते हैं।

मैं फ़ायरफ़ॉक्स से सबसे अधिक परिचित हूं, इसलिए मैं इसके साथ जाऊंगा।

फ़ायरफ़ॉक्स आपको एक 'मास्टर पासवर्ड' सेट करने की अनुमति देता है। यदि आप करते हैं, तो यह संग्रहीत पासवर्ड को मास्टर पासवर्ड के साथ एन्क्रिप्ट करता है। हालाँकि, सुविधा के लिए, आपको केवल प्रति सत्र एक बार इस मास्टर पासवर्ड का उपयोग करके लॉग इन करना होगा। एक बार जब आप लॉग इन हो जाते हैं, तो सहेजे गए पासवर्ड को डिक्रिप्ट करने के लिए आवश्यक जानकारी मेमोरी में स्टोर हो जाती है, और एक्सेस की जा सकती है। फ़ायरफ़ॉक्स को सहेजे गए पासवर्ड को देखने के लिए आवश्यक हर बार मास्टर पासवर्ड की आवश्यकता होने पर एक अधिक सुरक्षित और बोझिल दृष्टिकोण की आवश्यकता होती।

यहां तक ​​कि अगर सहेजे गए पासवर्ड पूरी तरह से एन्क्रिप्टेड और पूरी तरह से दुर्गम थे, तो उन्हें डिक्रिप्ट किया जाना चाहिए और कुछ बिंदुओं पर वेब फॉर्म में दर्ज किया जाना चाहिए। जिसका मतलब है कि पासवर्ड पकड़ना, मेमोरी में अनएन्क्रिप्टेड होना। वहाँ वास्तव में काफी कुछ 'कर रहे हैं तारांकन रिवीलर स्मृति से बाहर उन पासवर्ड हड़पने और, करने के लिए अच्छी तरह से, उन्हें पता चलता है के लिए बनाया गया' कार्यक्रम। मैलवेयर सैद्धांतिक रूप से भी ऐसा कर सकता था।

और मैलवेयर आपको कीलॉग भी कर सकता है, जिससे हमलावर को आपके द्वारा टाइप किए गए किसी भी पासवर्ड को पुनः प्राप्त करने की अनुमति मिलती है।


यहाँ प्रमुख ब्राउज़रों (IE, Chrome, FF) में पासवर्ड सुरक्षा का बहुत ही गहन अध्ययन किया गया है । संक्षेप में, क्रोम और IE10 दोनों विंडोज के एन्क्रिप्शन रूटीन पर निर्भर करते हैं, जिन्हें मजबूत माना जाता है। हालांकि, वे एक ही उपयोगकर्ता के तहत चल रहे अन्य कार्यक्रमों से रक्षा नहीं करते हैं, अर्थात वे मैलवेयर के खिलाफ बेकार हैं। फिर से, कोई भी निष्पादन कार्यक्रम (प्रशासक के रूप में) स्मृति से या वैसे भी कीलिंग द्वारा जानकारी हड़प सकता है।

एन्क्रिप्शन की विधि सबसे महत्वपूर्ण है जब आप बाद में विश्लेषण के लिए अपने सहेजे गए डेटा की चोरी की संभावना पर विचार करते हैं, जैसे कि कोई व्यक्ति आपके कंप्यूटर को चुपके से कॉपी कर रहा है या चोरी कर रहा है। सामान्य तौर पर, सभी आधुनिक ब्राउज़र हमले के उस रूप से बचाव का एक अच्छा काम करते हैं। एक अच्छे, मजबूत पासवर्ड के साथ फ़ायरफ़ॉक्स को फिर से पसंद किया जाता है, क्योंकि विंडोज एन्क्रिप्टेड डेटा को विंडोज उपयोगकर्ता खाते में लॉग इन करके पुनर्प्राप्त किया जा सकता है, और विंडोज पासवर्ड अब पूरी तरह से सुरक्षित नहीं है। ध्यान दें कि इसमें से कोई भी बहुत निर्धारित हमलावर को नहीं रोकेगा।


ध्यान देने योग्य बात यह है कि यदि आप एक प्रमाणक का उपयोग करते हैं, तो आपके पासवर्ड चुराने के लिए दुर्भावनापूर्ण हमलावर के विकल्प बहुत कम हो जाते हैं।
ओ ० '।

1

NirSoft "IEPassView" नामक एक उपकरण प्रदान करता है जो इंटरनेट एक्सप्लोरर 8 और पासवर्ड के तहत डिक्रिप्ट कर सकता है। विंडोज के लिए सिस्टम जानकारी वही कर सकती है; बस शीर्ष पर कुंजी पर क्लिक करें।

NirSoft कई लोकप्रिय ब्राउज़रों ( http://www.nirsoft.net/password_recovery_tools.html ) के लिए "पासवर्ड रिकवरी" टूल प्रदान करता है - ये एक अच्छा "अवधारणा का प्रमाण" दिखाते हैं कि अंतर्निहित पासवर्ड स्टोरेज सुरक्षित नहीं है ।


उह ... यह वास्तव में एक भ्रामक है। आप यह उल्लेख करने में विफल रहे कि इस तरह के उपकरण या तो मास्टर पासवर्ड द्वारा संरक्षित लॉगिन पर काम नहीं करते हैं या लॉगिन विवरण को "डिक्रिप्ट" करने के लिए मास्टर पासवर्ड की आवश्यकता होती है। कम से कम यह ओपेरा / क्रोम / फ़ायरफ़ॉक्स के लिए जाता है, यह सुनिश्चित नहीं है कि आईई क्या करता है, आप अच्छी तरह से वहीं हो सकते हैं।
एमोस कारपेंटर

1

लास्टपास और सॉफ्टवेयर जैसे यह अच्छे सुविधाजनक उत्तर हैं। जबकि वे आपको कुल सुरक्षा नहीं देते हैं (आपको अभी भी फ़ायरवॉल, एंटी वायरस, एक्ट्रा जैसी मूल बातें करने की ज़रूरत है।) यह आपके पासवर्ड को प्रबंधित करने का एक अच्छा तरीका है। इस तथ्य के कारण कि यह जादुई बादल पर संग्रहीत है, आप उन्हें कहीं से भी एक्सेस कर सकते हैं (कुछ स्थानीय सॉफ़्टवेयर के विपरीत जहां आपको इसे एक्सेस करने के लिए अपनी मशीन पर संग्रहीत करना होगा)।


1
मैं फिर से ध्यान दूंगा कि यह स्थानीय स्तर पर चल रहे मैलवेयर से रक्षा नहीं करेगा। सबसे पहले, मैलवेयर आपके लास्टपास मास्टर पासवर्ड को इंटरसेप्ट कर सकता है। दो-कारक प्रमाणीकरण से रक्षा कर सकते हैं, लेकिन तब आप उन्हें गंतव्य वेबपेज में टाइप करने की प्रक्रिया में पासवर्ड लीक कर सकते थे। इस तथ्य का तथ्य यह है कि यदि मैलवेयर आपकी मशीन पर चल रहा है (ऊंचा), तो आपका अनएन्क्रिप्टेड डेटा खराब हो गया है। और जैसे ही आप इसे एक्सेस करने की कोशिश करते हैं, आपका एन्क्रिप्टेड डेटा खराब हो जाता है।
बॉब

(यह अभी भी एक अच्छा सुझाव है [मैं व्यक्तिगत रूप से Keepass का उपयोग करता हूं, उस बादल बकवास में से कोई भी नहीं], लेकिन मुझे प्रश्न में बिंदु को संबोधित करना होगा।)
बॉब

@ याकूब की समस्या यह भी है कि स्थानीय मशीन मालवेयर पर भी पासवर्ड इंटरसेप्ट करने का काम वही कर सकता है। कॉपी और पेस्ट को भी ट्रेस किया जा सकता है, इसलिए जैसे ही आप एक पासवर्ड का उपयोग करते हैं, यह ट्रैक हो जाता है। कोई अच्छा तरीका नहीं है, 2 कारक प्रमाणीकरण वास्तव में थोड़े से हरा करने के लिए कठिन है।
ग्रिफ़िन

हाँ, मैं यह नहीं कह रहा हूं कि स्थानीय रूप से चलाए जा रहे मालवेयर के खिलाफ Keepass अब और सुरक्षित है।
बॉब
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.