Názory k článku Hesla uložená v prohlížeči Chrome lze získat „až překvapivě snadno“

pokud na počítači pracuje více lidí, tak si nemáte hesla ukládat do prohlížeče!

Předpokládám, že Firefox při užití master password přihlašovací údaje šifruje. Tedy pak se k nim nelze snadno dostat spuštěním neslušné aplikace. Obecně platí, že hesla se nemají nikde válet v plaintextu. Pokud chrome nemá možnost hesla šifrovat, tak je to chyba a proti Firefox mínus...

Pokud se mi někdo dostane k seznamu hesel přes zpřístupněný Chrome, pak si hesla opíše a dále už je může použít odkudkoliv. Irelevantní to tedy určitě není. Pokud nechám někde trvale otevřený chrome, pak má většinou útočník omezený čas na to aby převzal moji identitu. Poté musí místo napadení opustit. Se získanými hesly mu ale nic nebrání otevřít si zaheslované weby odkudkoliv s ukradenými hesly a po neomezený čas. Má navíc reálnou šanci, že se dostane i do samotného chrome nebo na jiné weby, které nejsou součástí seznamu hesel v nastavení chrome a to z prostého důvodu, že mnoho uživatelů používá na na různé weby a služby jedno nebo pár stejných hesel. To jedno nebo těch pár získá z chrome a pak se nabourá kamkoliv prostým zkoušením.

Hesla v jakémkoliv systému jsou zabezpečena až tehdy pokud k nim nemá přístup ani samotný správce serveru. Ten má uložena hesla pouze v šifrovaném stavu a pokud uživatel heslo zapomene je možný pouze reset hesla po kterém si uživatel nastaví heslo znovu a to se uloží opět šifrovaně. Zde ale Chrome působí coby služba, která zneužije důvěry svých uživatelů a vydoluje z nich hesla na cizí služby tak, aby šla přečíst v případě hrubého útoku i v otevřeném tvaru. To je bezpečnostní riziko jako sviňa.

Google by měl tuto funkci okamžitě zrušit. Ani heslo na otevření hesel není řešení. Hesla by měla být prostě stále pod hvězdičkami. Pokud chce uživatel znát uložené heslo na svůj web, měl by primárně požádat o reset hesla u konkrétní služby, kde heslo zapomněl a nelézt do nastavení chrome, aby si jej připomněl. Google tak neškodí jen bezpečnosti uživatele ve vztahu k své službě ale narušuje touto zhovadilostí bezpečnost mnoha dalších služeb jiných stran, které uživatel využívá.

Předpokládám, že Firefox při užití master password přihlašovací údaje šifruje.
- Ano. http://luxsci.com/blog/master-password-encryption-in-firefox-and-thunderbird.html

Pouštět k počítači s přihlášeným vlastním účtem cizí nedůvěryhodné osoby a stěžovat si na to, že Chrome nemá master password na hesla, je asi tak stejné jako pověsit na odemčené dveře od bytu cedulku "Račte dál, je odemčeno a já jsem pryč." a stěžovat si na to, že šuplíky u pracovního stolu nejsou zamykatelné.

"převzít identitu může rovnou"
- Ano, v případě, že jste pořád někam přihlášený, ale: NA JEDNU JEDINOU SESSION.
Je to stejné, jako odposlechnutí session cookies (pokud je samozřejmě alespoň přihlášení a změna hesla přes TLS) - a to ještě v případě, kdy se aplikace v kódu nebrání (pomocí regenerace session id nebo provázání s IP např.).

Je zajímavé, že autor článku by se jistě rozčiloval, kdyby narazil na aplikaci (nebo dokonce na OS), která/ý by umožnil změnu hesla bez znalosti původního, a přitom jde o stejnou primitivní příčinu a důsledek (pár vteřin u cizího nezamčeného PC, a nabourání nebo převzetí identity).

Autor objevil něco co má Chrome který existuje několik let už od svého začátku. Stejně jako to mají i ostatní starší prohlížeče. Nezbývá než pogratulovat k "objevení Ameriky" v roce 2013.

Master heslo nic neřeší. Zapomenu heslo ? NECHCI HO PROBOHA OD NĚKOHO PŘIPOMÍNAT V OTEVŘENÉM TVARU. Dokonce ani sám od sebe z nastavení chrome protože mi do přihlášeného chrome může někdo vlézt. Pokud heslo zapomenu požádám příslušný server o jeho reset, nastavím si heslo nové a jedu dál.

Na Windows zase Chrome nainstaluje nevolitenou Windows Service "GoogleUpdater" bezici pod systemovym uctem, ktera muze delat naprosto vse pod vsemi existujicimi ucty. Vcetne spusteni kodu stazeneho odnekud pripadnou buffer-overflow chybou :-) Zbavit se toho snadno (uzivatelsky) nelze.

Narozdil od Firefoxu, kde lze podobnou "aktualizacni" sluzbu behem instalace snadno zakazat. Coz ma samozrejme dobry duvod, nejen v pripade Firefoxu https://www.mozilla.org/security/announce/2013/mfsa2013-66.html

Rozdil v pristupu k bezpecnosti zcela patrny.

Tvrdíte, že je Chrome nějak šifruje? A jakým klíčem? Pokud jsou uložena například v sqlite tak to považuji za plaintext. Že o tom není řeč? Pokud jsou ovšem hesla uložena v čitelné podobě tak to je právě to o čem řeč má být.

Hezká odpověď :)
Ale zatímco děti, barák a desítky let života (no, to ještě ne) sdílím jen se svou ženou, tak za důvěryhodné považuji i další osoby (tj. důvěryhodné na to, abych je pustil na svůj počítač pod svým účtem).
Jo, a co se týče hesel, ty si navzájem nesvěřujeme ani se ženou :)

Pravděpodobně to lekterý mallware dělá. A je velký rozdíl mezi nemožností nastavit si master heslo (a tedy aspoň trochu to odhalení hesla stížit) a pouhou laxností. Ten rozdíl je v tom, že v první variantě utřou i ti, kteří laxní nejsou...

No jo, to mě nenapadlo. Možná proto, že mě taky nenapadá jak by mohl nějaký proces využí to, že jiný proces zobrazí data aktuálně přihlášeného uživatele aniž by si před tím vyžádal znovu nějaké heslo. To je oč tu běží, nikoliv o to jak jsou ta hesla uložena v paměti.

Základní problém je už v tom, že Chrome vůbec žádné master password nemá (pokud jsem to správně pochopil). Pak sice může Chrome ukládat hesla třeba stokrát šifrovaně, ale není až takový problém zjistit postup, jak je dešifrovat (a dělat to hromadně skrze malware).

Kdyby Chrome master heslo měl, tak žádný malware/útočník nemůže databázi hesel snadno dešifrovat (musel by se pokusit heslo "uhádnout", což se mu může, ale taky nemusí povést - a proto by to bylo mnohem méně lákavé).

Takze kdyz si skopiruju profil na jinej komp tak hesla neprectu? Ono totiz "exe" taky neni plaintext ze ... pripadne zip, pripadne tuny dalsich zcela citelnych formatu.

Master password ani šifrování není řešením. Popsal jsem to tu:
http://blog.horejsek.com/ulozena-hesla-v-prohlizeci-rozhodne-nejsou-v-bezpeci

Tento článek u mne něco změnil. Na jednom počítači co používám jsem si dosud hesla z bezpečnostních důvodů neukládal (kdybych počítač třeba ztratil). Nyní si je již ukládám, jelikož jsem se donutil zapnout na první pohled nepohodlnou vlastnost "master password". A ejhle - je mnohem pohodlnější naklepat jedno "master password" než furt klepat X hesel během sezení Firefox:-)

Chce to prostě větší osvětu a možnost "master password" může zasáhnout jistou skupinu lidí co na některých zařízeních odmítají ukládat hesla.

Chrome volbu vlastního "master password" nemá? Co dodat? Firefox je prostě lepší:-)

Hesla jsou šifrována přihlášením do Google pokud jsem se správně díval, tedy bez přihlášení ke google jsou hesla zašifrována.

Jenom doplním, že většina nálezců to master heslo louskat nebude. Ale kdyby tam to master heslo nebylo, tak by asi nezanedbatelnou část z té většiny nálezců mohlo napadnout se do seznamu hesel podívat.
Shrnuto: master heslo sice není neprůstřelnou ochranou, ale významně zvyšuje pravděpodobnost, že uložená hesla nebudou zneužita.

Inu to je tedy velmi inteligentní argumentace. A nejsou a nejsou a nejsou! Basta! Také jste si k tomu dupnul, doufám ;-)

Kdyz neni admin jouda, tak nainstaluje uzivatelum enterprise verzi Chromu, ktera se uz samozrejme instaluje do spravne slozky pro vsechny uzivatele. Navic pak muze sikovny admin i snadno ridit aktualizace.

No, když jsem to psal, tak jsem měl před očima takový ten typický uživatelský počítač, co nám lidi nosí při příležitostech typu "Policie ČR". Tj. Win, která naběhnou a přihlásí se automaticky. Pro tenhle typ uživatelů může být master heslo v prohlížeči (dostatečným) požehnáním :)

Ale jinak samozřejmě souhlas - šifrování uživatelského profilu by měl být základ. Uživateli bych ale spíš než EFS na profil doporučil Bitdefender na celý disk (EFS na profil má rozmanité vedlejší efekty - nic, co by se nedalo zvládnout, ale už mě to začíná otravovat a příště už do toho nejdu).

Většinově určitě ne, ale někteří ano. Jsou mezi nimi tací, kteří by pro bezpečnost rádi něco udělali, ale na šifrování šifrování disku si se svými technickými schopnostmi netroufnou. Master heslo v prohlížeči ale zvládnou. Pokud ho ten prohlížeč ovšem umí :)

Krom toho master heslo ochrání před zvědavostí v případě, že někoho pustím na chvíli ke svému počítači a nehlídám ho. Ne že by to nešlo obejít - ale obejít to bude umět málokdo (ve srovnání s tím, kolik lidí bude umět nakouknout do seznamu nechráněného master heslem). Já bych to fakt nezatracoval - když necháme lidem jenom ty úplně neprůstřelné způsoby ochrany, tak nebudou chránění vůbec (protože si to nebudou umět nastavit). A to už je podle mě lepší ochrana částečná.

Vous cherchez des pirates, alors contactez-nous à globalworldhac­kers@gmail.com
Pour des développeurs et des pirates informatiques efficaces et efficaces.
Upgrade University Grades, Hack Your School Grades, Hack Facebook, Instagram, Twitter, WhatsApp, Skype, Clone Votre téléphone conjoint, Hack Comptes bancaires, Apps Hacking, MasterCard, Paypal, Bitcoin, WU, Gramme d'argent avec le crédit untraceable sur elle, Nous ne Des logiciels personnalisés et le développement web en php, java, asp.net etc Nous avons des enregistrements de 100% de notre client ainsi que le taux de recrutement de répétition le plus élevé. Notre travail parle pour lui-même, nous fournissons une solution logicielle parfaite à tous les clients. Les parties intéressées doivent nous contacter à l'adresse suivante: globalworldhac­kers@gmail.com

i went through some difficult times when i had been let down by everyone around me, i came across Jennifer killer's post on a blog where she talked about a hacker who helped her out a month ago called (MICHAEL LAWSON), its actually impossible to put in words how much of a Genius he is and also can't stop thanking him for helping me through my divorce case, and also my Nephews school grades. He is a Black-hat hacker and very capable of almost and everything, he is actually one of the best out there and also very good to understand what so ever you are going through, in my own case the money wasn't the problem and i can gladly say every money spent was so worth it. I have referred some of my close friends to MICHAEL and all have been immensely satisfied with the Top Notch hacking service MICHAEL LAWSON offers.To whoever is lucky enough to read this its a fresh start for me and i am only doing this for those genuine people out there who would want the services of a hacker please as i said before be careful how you speak to him his a master in his game. He can be contacted on his services email (michael.l@hac­kermail.com or +1 646-652-6107). do add my name Mrs Medina Parker.

good luck to everyone and make sure you look for me on Facebook to thank me later.

lastpass to resi sifrovanim pomoci hlavniho hesla takze to neni jenom iluze, staci si pak nastavit ze nema zobrazovat hesla jen tak a je to fajn.

Nejsem žádný génius (ani pako), ale na fintu se změnou typu inputu na textový jsem přišel taky.

A ta zmínka, že Chrome nechce vytvářet u uživatelů falešnou iluzi bezpečí je úplná parodie na druhou.

Co jiného než falešnou iluzi bezpečí vytváří u uživatelů Chrome (a dalších prohlížečů) to, že předvyplněná hesla jsou zobrazena tečkami (hvězdičkami) a vypadá to, že jsou uložena tajně??? Stejně tak o tom, že se ta heslo dají tak lehce získat neví ani promile uživatelů...

Tak buď teda, ať jsou hesla viditelná stále (a pak si troufnu říct, že spousta lidí je přestane ukládat, protože jim dojde že je může vidět každý) a nebo při každém uložení hesla uživatele práskne do ksichnu výrazné upozornění, že kdokoliv koho pustí ke Chrome to jeho heslo uvidí.

Win8 umí zadávané heslo zobrazit - zrovna nedávno se mi to hodilo, když se mi zasekla jedna klávesa a já už panikařil z toho, že ani na 10. pokus se nemůžu přihlásit :)
Zrušit hvězdičky trvale ale podle mě není dobrý nápad, to by kterýkoli "kolemjdoucí" heslo snadno okoukal.

A co ked mame barak len jeden? ;-)

Bohužel to co píšete naráží na jednu podstatnou věc a tou je reálné používání PC, notebooků atd.
A běžnou realitou v mém okolí není půjčování notebooků na týden někomu cizímu domů, ani zapůjčení notebooku a odchod třeba na hodinu úplně pryč. Tak pak ano, tam je maskování hesla na nic.
Zato zcela běžnou realitou je žádost "můžu u tebe mrknout na email?" A to pak obvykle stojí vlastník ntb 2 minuty kousek od toho člověka a nedívá se na displej ale vidí ze nic nekopíruje na flashdisk atd. A ten kdo chce pak díky Chrome jen během sekundy mrkne na hesla, ale použije je samozřejmě až někdy jindy...
Navíc Chrome je takový génius že rovnou i naservíruje přehled služeb kde je člověk registrovaný a co si budeme povídat, většina lidí používá heslo jedno nebo dvě.

Mr docekal, bylo by zahodno nez neco plknete si to aspon vyzkouset, ze ... protoze podobny picoviny obcas ctou i osoby neznale, ktere by tomu mohly i verit.

FF nezobrazi bez zadani master passwordu ani seznam stranek, ke kterym hesla zna. (tecka).

Jirsak, ty si taky dej na hlavu mokrej hadr, FF ten seznam zobrazi, pokud v ramci session (= spusteni prohlizece) byl uz password zadan, pokud nebyl tak ho po tobe bude chtit, jinak nic nezobrazi.

Az na to, ze neni rec o vnucovani ale o moznsoti, a tou chromajzl nedisponuje.

Pravda. Všem říkám, ať to nedělají, a tuto funkci jsem si tedy teď v mozku nedostatečně poskládal :-)
Ale pořád je něco jiného znalost hesla, a "jen" přihlášení se s ním. Takový vteřinový "útočník" spíš nebude mít čas se zabývat aplikacemi nad sosáním hesel za hvězdičkama nebo prostým debuggováním přihlášení, protože i to je přece jenom vyšší level než ten nultý, zobrazit si je. Přihlásit se někam postupně, a tam rarašit, a nebo si pár kliknutími myší pro přehled zviditelnit všechno, a to tedy i pro budoucnost, aniž bych musel jakkoliv dál hnout brvou, je prostě rozdíl.

Jenže neexistence master password je "by design", neotřesitelné rozhodnutí přímo tvůrců Chrome.

Už od doby vzniku Chrome lidé zakládají "bugy" s požadavky na mastar password a vždycky jim autoři nafuckujou, že tahle fíčura nikdy nebude. Viz třeba http://productforums.google.com/forum/#!topic/chrome/pf-DSpWjAvQ a desítky dalších.

Nejspíš jde o nějaké rozhodnutí "seshora", někdo má zájem na tom, aby uživatelé byli zranitelní.

Bych rek ze si to pletete, windows zadne uloziste pro hesla nema, ma uloziste pro certifikaty.

Speciálně u Chromu to ale není žádný překvapení. Ten neumožňuje nastavit nic, kromě prohlížení stránek i neumí nic, takže by bylo fakt překvapení, kdyby umožnil nastavit něco, nebo dokonce i něco uměl (než se cpát BFU s právy Users do jejich profilové složky, na čemž rejžuje počty stažení a kecy o největší rozšířenosti, byť admini daná PC spravující z toho mají osypky to furt od tohoto kvalitativního plevelu čistit).

Zpráva je o něčem co tu existuje už x let. Je to jako by zítra v novinách vyšlo že vznikla samostatná ČR. Tedy něco co už existuje několik let a všichni o tom vědí.

ted abych se bal na par minut nechat navstevu u meho pocitace a odskocit si na wc. Bez znalosti hesla je prihlaseni k jakekoliv strance neprenositelne. to ze mi navsteva na par sekund koukne na facebook je mnohonasobne mensi zlo, nez ze se podiva jake tam mam heslo a pak se prihlasi u sebe doma. ff tohle ma resene lepe.

Už to tu padlo - normální je, že hesla se neukládaji v plaintextu. Je to opravdu lepší a věřím, že na případy, kdy to pomůže přijdete sám...

Počítač je normální při odskoku od něj zamykat.

U https Vám přesměrování provozu nepomůže (pokud uživatel není ignorant).

Ak si správne spomínam, tak Chrome (Windows verzia) ukladá heslá do nejakého Windowsového úložiská, ktoré je šifrované a odomyká sa prihlásením do Windows (takže tie heslá sú dostupné pre prihláseného užívateľa, ale po odhlásení, a možno aj pri uzamknutí) dostupné nie sú.

Normalni clovek ocekava, ze uloziste hesel je alespon minimalne zabezpeceno.

Win mají integrované úložiště pro hesla od Win7.

Podle čeho poznáte ne-cizí důvěryhodnou osobu? Myslím spolehlivě - aby se nikdy nestalo, že po čase zjistíte, že ta osoba si tu důvěru nezasloužila?

Nijak jem si to neověřoval, ale podle článku to dělají všechny prohlížeče. Tedy ve firefoxu si to můžete přenastavit, ale moc lidí to asi neudělalo.
Nechápu jak to, že se takové "vážné bezpečností riziko" masově nevyužívá k napadání účtů. Žeby všichni ti zlý čekali až jim to někdo poradí? Žeby na to nepřišli sami, tak jak jste si toho předtím evidentně nešiml vy? To by asi nebyli nic moc. Ne.
Paranoja pomáhá přežít jenom když není moc velká.

Jenze tady je problem prece uplne v necem jinem, hesla jsou sice sifrovana (crypto win api vazane na credentials aktualniho uctu), nicmene, kdyby byla v plaintextu, bylo by to to same, protoze jedine co takto provedene sifrovani resi je binarni neprenositelnost mezi ucty.
Z pohledu skudce, je tedy naprosto irelevantni, zda se k datum dostanu tak, ze si prectu textak a nebo tak, ze si napisu program, ktery dany textak vytvori.
"Master password" by mel primarne resit to, ze se sice SW treti strany dostane k zasifrovanym heslum, ale bez "master password" je nebude schopen rozsifrovat.

Jsem zmaten. Nestudoval jsem to. Nyní píšete, že Chrome disponuje také možností master hesla. Pokud tomu tak je a mohu si tam volit své master heslo, tak je na tom jako Firefox.

Při zvolení master hesla by pak ovšem neměl prohlížeč ukazovat hesla na ťuknutí, ale až po zadání master hesla (tedy na příkaz zobraz hesla se musí znovu zeptat na master heslo - Firefox to tak dělá).

Já chrome nainstalovaný nemám a přesto stále zápasím s tím GoogleUpdater. Nejde se tomu nijak bránit! Ani vyčištění registrů ani zakázáním v Services ani smazáním z disku. Prostě to tam Google zase nějak nacpe.

Je to podobný virus jako Adobe Updater.

Samozrejme, Google ma zrejme znacny zajem na tom, aby to neslo smazat.

Finta je v tom, ze krome windows service se to spousti i jako uloha z Task Manageru, takze to musite smazat i tam. Stejne jako Adobe Updater.

A jirsak opet potrvrdil ze je dement kterej neni schopnej za 10s overit ze tu plka kraviny. Ostatne jako 100% jeho dalsich postu.

Objevujete ameriku. Totéž lze provést i u klasických GUI aplikací. Když mi dá do ruky někdo klasický klíč, také mám v přiměřeném čase šanci si udělat otisk.

Zabezpečení je ve výsledku vždy pouze o ztížení přístupu, nikoliv jeho absolutního zamezení. Master password přesně tuto funkci plní, ztěžuje přístup k heslům, obzvláště k jejich hromadnému zobrazení. Tudíž zbytečný není.

Na uživateli zůstává obligátní otázka - je pro mě důležitější pohodlí, nebo bezpečí?

Ani bych nerek, na pocitaci muze pracovat vic lidi a vetsinou je to zcela bezne. A vazne neni moc fajn, kdyz byt jen zprdele/omylem nekdo neco nekam napise pod cizim acc.

Když jde o záměr nemůže jít o chybu. Je to ale podle mne vážné bezpečnostní riziko.

každé takové heslo musí mít schopen prohlížeč "přečíst", jinak by jej nemohl použít. Snažit se jej skrýt jen vyvolává pocit falešného bezpečí.

Jinak v každém prohlížeči, když potřebuji nějaké heslo, které jsem zapomněl, ale ukazuje mi jej "našeptávač", tak prostě kliknu na dané input type password políčko a změním to na input type cokoliv, čímž dané heslo zobrazím. A mohou to mít klidně zašifrované 128bitovou asymetrickou šifrou či čímkoliv jiným.

Jenom skoda, ze neumi sifrovat i vse ostatni (v defaultu, predpokladam, ze na to mozna nejaky plugin bude). Protoze mnohe se da ziskat i z historie, bookmarku ...