क्या कोई ब्राउज़र प्लगइन / ऐडऑन मेरे पासवर्ड को एक्सेस कर सकता है?


10

यह तेजी से ऐसा हो रहा है कि कई ब्राउज़र एक्सटेंशन और प्लगइन्स को "मेरे सभी डेटा" (क्रोम और फ़ायरफ़ॉक्स दोनों में) की आवश्यकता होती है; मैं इंटरनेट एक्सप्लोरर पर टिप्पणी नहीं करूंगा)।

मुझे आश्चर्य हो रहा है कि जब मैं इसे देखता हूं, तो इन प्लगइन्स और ऐडऑन के लिए संभव है कि मैं अपने बैंकिंग डेटा (उदाहरण के लिए) का उपयोग करूं या फॉर्म के माध्यम से सबमिट किए गए डेटा तक पहुंच पाऊं।

Addons के सुरक्षा निहितार्थ क्या हैं?

जवाबों:


17

यह पोस्ट केवल फ़ायरफ़ॉक्स और क्रोमियम / Google क्रोम पर लागू होती है। मैं इंटरनेट एक्सप्लोरर, ओपेरा या मोबाइल ब्राउज़रों पर टिप्पणी नहीं कर सकता। इसके अलावा, मेरा गणित और नीचे गलत हो सकता है, लेकिन मूल विचार सही है।

बेशक, यह संभव है, हालांकि, फ़ायरफ़ॉक्स और क्रोम / क्रोमियम के मामले में, संभावना नहीं है।

क्या मेरे पासवर्ड (जो ब्राउज़र में संग्रहीत हैं) सुरक्षित हैं?

यह उत्तर मेरे पसंदीदा में से एक है: यह निर्भर करता है। पासवर्डों कि ब्राउज़र जरूरत से सहेजे जाते हैं एक महत्वपूर्ण पूरा करने के लिए, और, देखने के लिए, भयानक, हालत का एक सुरक्षा बिंदु से: वे होने की जरूरत प्लेन टेक्स्ट या सादा पाठ के लिए revertible।

Plaintext बनाम Encrypted बनाम Hashed

वह बुरा क्यों है? खैर, कल्पना कीजिए कि कोई सर्वर में सेंध लगाता है और पासवर्ड डेटाबेस चुराता है। दो संभावित परिणाम हैं:

  1. पासवर्ड प्लेनटेक्स्ट (या आसानी से प्रतिवर्ती) हैं, इसलिए पटाखा की अब सभी खातों तक पूरी पहुंच है।
  2. पासवर्ड हैशेड (या एन्क्रिप्टेड) ​​हैं, पासवर्ड प्राप्त करने और खातों तक पहुंचने के लिए हैश के खिलाफ एक क्रूर बल हमला आवश्यक होगा। अब भी कि आपका उपयोगकर्ता नाम और पासवर्ड चोरी हो गया है, आपका खाता अभी भी सुरक्षित है।

चूंकि ब्राउज़र को वेबसाइटों को पासवर्ड भेजने में सक्षम होने की आवश्यकता है, इसलिए यह हैश पासवर्ड नहीं कर सकता है , यह केवल उन्हें एन्क्रिप्ट कर सकता है (या उन्हें प्लेनटेक्स्ट के रूप में भी स्टोर कर सकता है)। यह एक ऐसी चीज है जिसे हमेशा ध्यान में रखना चाहिए (वही ईमेल क्लाइंट, चैट एप्लिकेशन और आगे के लिए जाती है)।

सिर्फ इसलिए कि यह एन्क्रिप्टेड है, इसका मतलब यह सुरक्षित नहीं है

फ़ायरफ़ॉक्स, डिफ़ॉल्ट रूप से, आपको पासवर्ड सहेजने की अनुमति देता है। यह उन्हें भी प्रभावित करता है । यही क्रोमियम पर लागू होता है (देखें परिशिष्ट "खैर, यह निर्भर करता है ..." )। इसके साथ समस्या यह है कि डिक्रिप्शन की कुंजी पासवर्ड के साथ भी संग्रहीत की जाती है। यह एन्क्रिप्शन को किसी ऐसे व्यक्ति के लिए एक छोटी सी असुविधा प्रदान करता है जो आपके पासवर्ड चाहता है और उन्हें किसी भी तरह से रोकता नहीं है।

तब पासवर्ड के साथ कुंजी को स्टोर न करें!

यह सही है, पासवर्ड को सुरक्षित बनाने के लिए , हमें कुंजी को एन्क्रिप्ट किए गए पासवर्ड से दूर करना होगा। यह फ़ायरफ़ॉक्स में एक मास्टर पासवर्ड सेट करके किया जाता है , जो तब आपके सभी पासवर्ड को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग किया जाता है। इस तकनीक का उपयोग करके, आप एन्क्रिप्ट किए गए डेटा से कुंजी को अलग करते हैं , जो हमेशा एक अच्छा विचार होता है (आखिरकार, आप अपने दरवाजे के बाहर, अपने दरवाजे के सामने एक हुक पर अपनी कुंजी की चाबी नहीं रख रहे हैं?)।

पासवर्ड केवल उतना ही सुरक्षित है जितना कि आप उन्हें बनाते हैं

तो, मैंने पहले क्यों कहा कि आपके पासवर्ड अब सुरक्षित हैं और सुरक्षित नहीं हैं ? क्योंकि अब आपके पासवर्ड की सुरक्षा आपके द्वारा चुने गए पासवर्ड पर निर्भर करती है। यही है, पासवर्ड "asdf" को किसी भी तरह से सुरक्षित नहीं माना जाना चाहिए; न तो "12345" है। अच्छे पासवर्ड लंबे होते हैं , क्योंकि ब्रूट-फोर्सिंग में उन्हें काफी समय लगता है। पासवर्ड "VioletIsAnotherColor" तकनीकी रूप से अपनी लंबाई के कारण "D0! L4riZe" की तुलना में अधिक सुरक्षित है, इस तथ्य के बावजूद कि दूसरे में विशेष वर्ण हैं। उस पर एक छोटी सी नजर डालते हैं।

"VioletIsAnotherColor"
लंबाई: 20
संभावित वर्ण: 52 (26 लोअरकेस + 26 अपरकेस)

"D0! L4riZe"
लंबाई: 9
संभावित वर्ण: 77 (26 निचला + 26 ऊपरी + 10 अंक + 15 विशेष)
विशेष:! "@ $% & / () =? * + # -?

तो, हमें उन पासवर्डों को तोड़ने के कितने प्रयासों की आवश्यकता है, जो उनके चरित्र सेट और लंबाई को जानते हैं?

"VioletIsAnotherColor"
52 20 = ~ 20 मिलियन (~ 2 × 10 34 )

"D0! L4riZe"
77 9 = ~ 95 क्वाड्रिलियन (~ 9 × 10 16 )

जैसा कि हम देखते हैं, बाद के पासवर्ड, व्यापक चरित्र सेट के बावजूद, अपने सीमित सेट के साथ लंबे समय से बल-प्रयोग करना आसान है। इसकी वजह है लंबाई। (एक और उल्टा यह है कि पहले वाले को याद रखना आसान है।) इस मामले पर विवरण के लिए आईटी सुरक्षा प्रश्न देखें।

इसलिए, यदि संभव हो, तो पासवर्ड का नहीं, पासफ़्रेज़ का उपयोग करें

विषय पर वापस, स्पूफिंग ऐडऑन से मेरे पासवर्ड कितने सुरक्षित हैं?

वे नहीं हैं। इसका कारण यह है कि addons आपके द्वारा अभी देखी गई वेबसाइट तक पहुंच है। वे इसमें दर्ज पासवर्ड सहित जानकारी निकाल सकते हैं। Addons किसी अन्य इंस्टॉल किए गए सॉफ़्टवेयर की तरह एक सुरक्षा जोखिम है। केवल उन ऐडनों को स्थापित करें जिन पर आपको भरोसा है।

महान! मुझे इस बात की जानकारी कैसे होगी?

केवल उन स्रोतों से स्थापित करें जिन पर आप भरोसा करते हैं। फ़ायरफ़ॉक्स के लिए यह AddOns पेज है और क्रोमियम के लिए यह क्रोम वेब स्टोर है , या यदि आप लेखक / वितरक पर भरोसा करते हैं। दोनों की गारंटी है कि AddOns की जाँच और सुरक्षित है।

न तो मोज़िला एडऑन्स पेज और न ही क्रोम वेब स्टोर किसी भी तरह से गारंटी दे रहे हैं कि ऐडऑन सुरक्षित है। वे स्वचालित समीक्षा प्रक्रियाएँ नियोजित करते हैं जो दुर्भावनापूर्ण व्यसनों को पकड़ सकती हैं या हो सकती हैं। दिन के अंत में, अभी भी एक जोखिम बाकी है।

केवल उन स्रोतों से ऐडऑन स्थापित करें जिन पर आपको भरोसा है।

एक पल इंतज़ार करें; क्या आपने अभी अन्य स्थापित सॉफ़्टवेयर का उल्लेख किया है?

बेशक! कुछ भी अन्य स्थापित सॉफ़्टवेयर को ब्राउज़र से आपके पासवर्ड हथियाने, मैन-इन-द-मिडिल हमलों का प्रदर्शन करने, या यहां तक ​​कि एक प्रॉक्सी को परोसने से रोकता है जो आपकी बैंकिंग वेबसाइटों को खराब करता है। वही ब्राउजर प्लगइन्स के लिए जाता है। अंगूठे का नियम है: ऐसे सॉफ़्टवेयर न स्थापित करें जिन पर आप भरोसा नहीं कर सकते।

निष्कर्ष

इससे आपको क्या लेना देना?

  • कभी भी उन सॉफ़्टवेयर / प्लगइन्स / एडोनों को स्थापित न करें जिन पर आपको भरोसा नहीं है।
  • यदि आप अभी भी संदेह में हैं, तो एक मास्टर पासवर्ड सेट करें।
  • यदि अभी भी संदेह है, तो पासवर्ड के साथ अपने ब्राउज़र पर भरोसा न करें, उन्हें कभी भी न सहेजें।
  • यदि अभी भी संदेह है, तो कभी भी किसी भी एडोनस / प्लगइन्स को स्थापित न करें।
  • यदि अभी भी संदेह है, तो एक लाइव सिस्टम का उपयोग करें , जिसके साथ छेड़छाड़ नहीं की जा सकती है।

परिशिष्ट: "ठीक है, यह निर्भर करता है ..."

जैसा कि मुझे पता चला है, इस पैराग्राफ में मेरी धारणा 100% सही नहीं है, और मैं इसे सही करना चाहूंगा। निम्नलिखित जानकारी केवल डिस्क पर पासवर्ड के भंडारण पर लागू होती है।

Google Chrome / Chromium

यह वास्तव में करता है , डिस्क पर सुरक्षित तरीके से अपना पासवर्ड सहेजना ऑपरेटिंग सिस्टम उस पर चल रहा है पर निर्भर करता है:

माइक्रोसॉफ़्ट विंडोज़

माइक्रोसॉफ्ट विंडोज एपीआई CryptProtectData/ CryptUnprotectDataपासवर्ड को एन्क्रिप्ट / डिक्रिप्ट करने के लिए उपयोग किया जाता है। यह एपीआई आपके ओएस खाते के पासवर्ड के साथ काम करता है, इसलिए यह केवल उतना ही सुरक्षित है जितना कि पासवर्ड।

मैक ओ एस

MacOS के लिए परत वर्तमान उपयोगकर्ता के किचेन के पासवर्ड के आधार पर एक यादृच्छिक कुंजी उत्पन्न करती है और उस कुंजी को किचेन में जोड़ती है। फिर, यह केवल उपयोगकर्ता के पासवर्ड के रूप में सुरक्षित है।

लिनक्स

खैर ... चलो इसके बारे में बात नहीं करते हैं।

ठीक है, यदि आपको जानना है, तो यह वही है जो मैंने ग्रहण किया था: यह डेटा को हार्डकोड पासवर्ड के साथ संग्रहीत करता है। यह एक केस क्यों है? केवल इसलिए कि अन्य दो प्रणालियों के लिए एक तरह से एन्क्रिप्टेड डेटा को संभालने के लिए कोई सामान्य बुनियादी ढांचा नहीं है । नहीं, मैंने यह नहीं कहा कि लिनक्स में एन्क्रिप्शन सिस्टम या सुरक्षा का अभाव है; कीरिंग / कीचेन और पासवर्ड भंडारण उपलब्ध समाधान के बहुत देखते हैं यूज़रस्पेस में । जैसा कि लगता है, क्रोम डेवलपर्स ने उनमें से एक का उपयोग नहीं करने का फैसला किया। "क्यों?" एक सवाल नहीं है जिसका मैं जवाब दे सकता हूं।

फ़ायरफ़ॉक्स

हमेशा एक उत्पन्न कुंजी का उपयोग करता है जो पासवर्ड के साथ संग्रहीत होती है। अपवाद यदि आप एक मास्टर पासवर्ड सेट करते हैं, तो यह भी उपयोग किया जाएगा।


विस्तृत बात करें। मैंने देखा है कि सबसे अच्छी तरह गोल जवाब है! धन्यवाद @ बॉबी
फ्लोटिंगरॉक

एहसास हुआ कि क्रोम आपको URL द्वारा कुछ प्लगइन्स तक पहुंच को सीमित करने की अनुमति देता है, फ़ायरफ़ॉक्स में कोई भी एडोन सैंडबॉक्सिंग / अनुमतियाँ नहीं हैं।
फ्लोटिंगरॉक

2
@ बॉबी - पासवर्ड ताकत के लिए आपके VioletIsAnotherColorबनाम के बारे में D0!l4riZe। पहले एक तकनीकी रूप से मजबूत है ... जब आप एक क्रूर बल हमले का उपयोग कर रहे हैं । हालाँकि, एक अन्य प्रकार का हमला शब्दकोष का हमला है , जहाँ हमलावर अक्षरश: अक्षरों और संख्याओं के बजाय, शब्दों के शब्दकोष और उन शब्दों के संयोजन के बजाय विधिपूर्वक जाता है। VioletIsAnotherColor~ 1.2 बिलियन संभावनाओं के भीतर फटा जा सकता है। बस तकनीकी और सभी होने के लिए, लेकिन यह ध्यान देने योग्य है। (वैसे भी, btw) :)
कुल्लू

@ कुल्लू आप 1 अरब संभावनाओं पर कैसे पहुंचे? यहां तक ​​कि अगर मैं केवल 60k प्रविष्टियों के साथ "छोटा" शब्दकोश ग्रहण करता हूं, तो मैं 1.2 * 10 ^ 19 पर पहुंचता हूं, और यह ऊपरी / निचले और संभव वर्तनी की गलतियों के लिए जिम्मेदार नहीं है।
बॉबी

1
ओह, धन्यवाद - ऐसा लगता है जैसे मैंने अपनी संख्या को गलत किया है। फिर भी, मैं ~ 1.2 * 10 ^ 21 के साथ समाप्त होता हूं। जैसा कि आपने कहा, पूंजीकरण को ध्यान में नहीं रखा गया है, लेकिन इसमें अंग्रेजी भाषा का हर शब्द शामिल है, जिसमें 50,000 ऐसे हैं जो अप्रचलित हैं। (~ 200,000 कुल) मुझे लगता है कि यह अभी भी उस यादृच्छिक अक्षरों / संख्याओं की तुलना में सुरक्षित है, जब तक कि हमलावर स्मार्ट नहीं था, और बस अधिक सामान्य शब्दों का उपयोग किया था। पूंजीकरण एक बड़ी बात नहीं है, क्योंकि इस तरह के अधिकांश पासवर्डों में यादृच्छिक पूंजीकरण नहीं होता है - कैमलकेस, वर्डकैप्स, और ऑलओवरकेस सबसे अधिक कवर करने जा रहे हैं।
कलुब
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.