यदि आपके कंप्यूटर पर मैलवेयर है, तो कोई भी पासवर्ड दर्ज नहीं किया गया है या उस पर संग्रहीत नहीं किया जा सकता है। यहां तक कि एन्क्रिप्टेड पासवर्ड जैसे कि कीपास डेटाबेस, जैसे ही आप इसे डिक्रिप्ट करने के लिए आवश्यक विवरण दर्ज करते हैं, हमलावर आपके पासवर्ड को पुनः प्राप्त कर सकता है।
ब्राउज़र आमतौर पर सहेजे गए पासवर्ड की सुरक्षा पर बहुत ध्यान नहीं देते हैं, कम से कम डिफ़ॉल्ट सेटिंग्स के साथ नहीं।
मान लीजिए कि आपको ट्रोजन मिलता है, जो आपके पीसी से डेटा चुराता है। क्या ट्रोजन ब्राउज़र द्वारा संग्रहीत पासवर्ड को डिक्रिप्ट कर सकता है, और उनका उपयोग कर सकता है?
एक शब्द में: हाँ ब्राउज़र आमतौर पर याद किए गए पासवर्ड को एन्क्रिप्ट नहीं करते हैं, इसलिए उन्हें तुच्छ प्रयास के साथ पढ़ा जा सकता है। संग्रहीत कुंजी के साथ एन्क्रिप्शन वैसे भी बेकार है: यदि ब्राउज़र इसे डिक्रिप्ट करने में सक्षम है, तो उसी कंप्यूटर पर चलने वाले अन्य प्रोग्राम भी ऐसा कर सकते हैं।
मैं फ़ायरफ़ॉक्स से सबसे अधिक परिचित हूं, इसलिए मैं इसके साथ जाऊंगा।
फ़ायरफ़ॉक्स आपको एक 'मास्टर पासवर्ड' सेट करने की अनुमति देता है। यदि आप करते हैं, तो यह संग्रहीत पासवर्ड को मास्टर पासवर्ड के साथ एन्क्रिप्ट करता है। हालाँकि, सुविधा के लिए, आपको केवल प्रति सत्र एक बार इस मास्टर पासवर्ड का उपयोग करके लॉग इन करना होगा। एक बार जब आप लॉग इन हो जाते हैं, तो सहेजे गए पासवर्ड को डिक्रिप्ट करने के लिए आवश्यक जानकारी मेमोरी में स्टोर हो जाती है, और एक्सेस की जा सकती है। फ़ायरफ़ॉक्स को सहेजे गए पासवर्ड को देखने के लिए आवश्यक हर बार मास्टर पासवर्ड की आवश्यकता होने पर एक अधिक सुरक्षित और बोझिल दृष्टिकोण की आवश्यकता होती।
यहां तक कि अगर सहेजे गए पासवर्ड पूरी तरह से एन्क्रिप्टेड और पूरी तरह से दुर्गम थे, तो उन्हें डिक्रिप्ट किया जाना चाहिए और कुछ बिंदुओं पर वेब फॉर्म में दर्ज किया जाना चाहिए। जिसका मतलब है कि पासवर्ड पकड़ना, मेमोरी में अनएन्क्रिप्टेड होना। वहाँ वास्तव में काफी कुछ 'कर रहे हैं तारांकन रिवीलर स्मृति से बाहर उन पासवर्ड हड़पने और, करने के लिए अच्छी तरह से, उन्हें पता चलता है के लिए बनाया गया' कार्यक्रम। मैलवेयर सैद्धांतिक रूप से भी ऐसा कर सकता था।
और मैलवेयर आपको कीलॉग भी कर सकता है, जिससे हमलावर को आपके द्वारा टाइप किए गए किसी भी पासवर्ड को पुनः प्राप्त करने की अनुमति मिलती है।
यहाँ प्रमुख ब्राउज़रों (IE, Chrome, FF) में पासवर्ड सुरक्षा का बहुत ही गहन अध्ययन किया गया है । संक्षेप में, क्रोम और IE10 दोनों विंडोज के एन्क्रिप्शन रूटीन पर निर्भर करते हैं, जिन्हें मजबूत माना जाता है। हालांकि, वे एक ही उपयोगकर्ता के तहत चल रहे अन्य कार्यक्रमों से रक्षा नहीं करते हैं, अर्थात वे मैलवेयर के खिलाफ बेकार हैं। फिर से, कोई भी निष्पादन कार्यक्रम (प्रशासक के रूप में) स्मृति से या वैसे भी कीलिंग द्वारा जानकारी हड़प सकता है।
एन्क्रिप्शन की विधि सबसे महत्वपूर्ण है जब आप बाद में विश्लेषण के लिए अपने सहेजे गए डेटा की चोरी की संभावना पर विचार करते हैं, जैसे कि कोई व्यक्ति आपके कंप्यूटर को चुपके से कॉपी कर रहा है या चोरी कर रहा है। सामान्य तौर पर, सभी आधुनिक ब्राउज़र हमले के उस रूप से बचाव का एक अच्छा काम करते हैं। एक अच्छे, मजबूत पासवर्ड के साथ फ़ायरफ़ॉक्स को फिर से पसंद किया जाता है, क्योंकि विंडोज एन्क्रिप्टेड डेटा को विंडोज उपयोगकर्ता खाते में लॉग इन करके पुनर्प्राप्त किया जा सकता है, और विंडोज पासवर्ड अब पूरी तरह से सुरक्षित नहीं है। ध्यान दें कि इसमें से कोई भी बहुत निर्धारित हमलावर को नहीं रोकेगा।