mboost-dp1

Chrome password keychain & sikkerhed


Gå til bund
Gravatar #1 - nielsbuus
1. aug. 2011 22:00
Jeg er pjattet med Chrome og har været det i et par år nu. Men der er et par funktioner i Chrome som jeg ikke føler mig tryk ved og opfatter som en stor sikkerhedsrisiko. Det synes jeg vi bliver nødt til at snakke om.

1) Synkronisering med Google konto
Synkronisering af bookmarks, temaer, præferencer, m.v. er genialt - men jeg finder det en lille smule foruroligende at der ingen beskyttelse ser ud til at være på det. Hvis jeg eksempelvis har aktiveret fuld synkronisering på en computer under Personlige ting, så bliver alle mine bogmærker, historik, gemte password, m.v. på den maskine jeg har aktiveret det på - selv efter at jeg slår synkroniseringen fra. Det betyder at synkroniseringen er værdiløse på offentlige computere eller lånte maskiner.

2) Password manageren
Jeg har ikke tillid til password managers og foretrækker altid at bruge et websteds "auto login" funktion, fordi cookies normalt ikke indeholder passwords, men derimod et hash eller et tidsbegrænset session id så man kan logge ind igen uden kode. Skal man således kompromiterer min sikkerhed og tiltvinge sig adgang, så skal man ind på min harddisk og finde den relevante cookie for at kopiere den. Og selv hvis man gør det, så har man kun adgang på lånt tid til det specifikke site.

Alle browsere tilbyder efterhånden at gemme passwords for mig. I Firefox fungerer det ved at passwordet bliver gemt i en krypteret fil og hver gang der skal læses noget fra den, så skal brugeren indtaste sit "master password".

Men på Chrome virker det slet ikke til at der er nogen beskyttelse - og gemte passwords kan til enhver tid ses på skærmen under Personlige ting. Det betyder at hvis jeg lod alle mine logins gemme i min Chrome keychain og synkroniserede denne med min Google-konto og herefter mistede min bærbare (som også synkroniserede), så ville den person der fik fat i computeren have adgang til alle mine gemte logins.

Er der nogle Chrome fans (og kritikere) som har nogle bemærkninger til min diskurs eller kan bidrage med noget perspektiv og som kan gennemskue den bagvedliggende logik i Google's sikkerhedsmodel ift. passwords og ift. synkronisering?
Gravatar #2 - kasperd
1. aug. 2011 22:59
MadiZone (1) skrev:
Men på Chrome virker det slet ikke til at der er nogen beskyttelse - og gemte passwords kan til enhver tid ses på skærmen under Personlige ting.
Jeg har i øjeblikket ikke Chrome installeret. Men hvis Chrome og Chromium er ens på det punkt, så har du ret i, at det ser ikke ud til at der er nogen mulighed for at beskytte de gemte passwords.

Jeg har hidtil kun gemt passwords i Chrome på computere hvor hele mit home directory var krypteret, så jeg har ikke ledt efter sådan en feature tidligere.

Men selvom man kan kryptere sit home directory, så er det stadig en stor mangel hvis Chrome virkeligt ikke kan kryptere gemte passwords. Jeg er meget overrasket over at den feature ikke findes.
Gravatar #3 - nielsbuus
1. aug. 2011 23:52
#2, Chrome krypterer skam passwordsene, så ens profildata ikke bare kan åbnes i notepad - problemet er at enhver der får adgang til den bruger man har arbejdet på, kan starte Chrome og smutte ind i præferencer og bladre gemte logins igennem og dermed se side, brugernavn og adgangskode.
Gravatar #4 - nielsbuus
2. aug. 2011 00:02
Hvis jeg eksempelvis lader min bærbar stå i et klasselokale i et par minutter mens jeg smutter på toilettet uden at låse den, så kan enhver gå over til computeren lave 3 klik og så er der frit udsyn.
Gravatar #5 - kasperd
2. aug. 2011 09:26
MadiZone (3) skrev:
Chrome krypterer skam passwordsene, så ens profildata ikke bare kan åbnes i notepad
Kryptering tjener ikke noget formål hvis nøglen gemmes i klartekst sammen med de krypterede data.

Jeg prøvede så at finde ud af hvilken fil Chromium så faktisk gemmer passwords i. Så vidt jeg kan gennemskue bliver de gemt i .gnome2/keyrings/login.keyring. Jeg kan ikke lige gennemskue præcist hvad der gemmes i den fil, men jeg har på fornemmelsen det ikke er Chromium selv der opdaterer den fil.
Gravatar #6 - Mnc
2. aug. 2011 10:21
Om Opera's:
If you use a master password or not, all strings in the wand file are encrypted as follows:
From a password, the string to be encrypted, and a hardcoded plaintext seed, a hash is genererated, called Salt.
This Salt and the password is digested into a key
Using that key, the string is encrypted with the 3DES algorithm, and saved together with the Salt in wand.dat

The password is hardcoded if you don't use a master password, which means that it is possible to decrypt the wand.dat, however quite some Opera hacking and cryptography expertise would be necessary.

However, if you do use a master password, the used password is a combination of the master password and a 128-byte random portion created at the same time. This random portion is stored outside wand.dat, also encrypted with the master password.

So, without the master passowrd *and* the encrypted random portion, it's impossible to decrypt wand.dat with all the computing power available in the near future. All operations involved nullify all used memory areas before releasing them.

Og når man åbner Password Manager'en, så er det ikke muligt at se passwords, kun site & brugernavn.
Og de eneste options du har derinde, er om du vil slette et login, eller om du vil lukke PM.

Det undrer mig hvis Chrome ikke (som minimum) har lignende sikkerhed.
Gravatar #7 - kasperd
2. aug. 2011 12:49
Mnc (6) skrev:
Og når man åbner Password Manager'en, så er det ikke muligt at se passwords, kun site
Det er så en mangel. Hvis man gerne vil se passwordet, så skal det selvfølgelig kunne lade sig gøre.

Nogle gange har man brug for at lægge et password over på en anden enhed. Hvis man bruger flere forskellige passwords end man kan huske, og man ikke kan få dem ud af password manageren i browseren, så er man nødt til også at gemme dem i en anden password manager. Hvis man gemmer sine passwords i to password managers, har man besvær med at holde dem synkroniseret, og der er et stykke software mere, som kan have sikkerhedsfejl.

Selvfølgelig skal passwords ikke vises på skærmen som default, men en knap til at vise hver enkelt vil være fornuftigt. Det vil selvfølgelig kun være muligt så længe password manageren er låst op. Og man skal have mulighed for at vælge hvor mange sekunder den forbliver låst op efter man har brugt den.
Gravatar #8 - nielsbuus
2. aug. 2011 13:01
#7 men der er slet ikke nogen lås på Chrome. Er ens maskine først logget på Windows, så er man prisgivet hvis den falder i de forkerte hænder. Du smutter bare ind på chrome://settings/personal og vælger "Administrer gemte adgangskoder" og bom, der står de. Og når Google så ovenikøbet synkroniserer din nøglering til din Google konto som default, så betyder det at enhver Chrome som er sat op eller på et tidspunkt har været sat op til at synkronisere med din Google-konto vil indeholde en tilgængelig kopi af din nøglering, med mindre du aktivt har fravalgt det.
Gravatar #9 - webwarp
2. aug. 2011 13:08
#0 Er samme problem med FireFox, at den default gemmer passwords, så enhver meget simpelt kan se ens kodeord. Med masterpassword kræver det dog at man skal til at google for at komme forbi det.. men stadig ikke sikkert.

Man så nok argumentere, at det vil kræve fysisk adgang, hvorfor du så må formodes at skulle have beskyttet hele din pc inden du forlod det, i stedet for at skulle til at låse hvert enkelt program.

Tanken med at den synkroniserer, men ikke fjerner igen, er egentlig interessant, er det en du har posted til dem, kunne være interessant, hvad deres svar var på problemstillingen ?
Gravatar #10 - kasperd
2. aug. 2011 13:08
MadiZone (8) skrev:
men der er slet ikke nogen lås på Chrome. Er ens maskine først logget på Windows, så er man prisgivet hvis den falder i de forkerte hænder.
Hvor bliver de gemt? Jeg går ikke ud fra at den bruger Gnome.
Gravatar #11 - webwarp
2. aug. 2011 13:10
#10 nej windows har sit eget gui, men hvad har det at gøre med, hvor de bliver gemt ?
Gravatar #12 - nielsbuus
2. aug. 2011 13:12
Nøgleringen bliver gamt (krypteret) i din brugerprofil på Windows - jeg går ud fra at det samme gør sig gældende på Linux og OS X. Hvis man slår Google synkronisering til, så bliver nøgleringen også gemt på din Google-konto.
Gravatar #13 - kasperd
2. aug. 2011 13:13
webwarp (11) skrev:
hvad har det at gøre med, hvor de bliver gemt ?
Hvis Chrome bruger et eksternt program til at gemme passwords kan det være at det eksterne program kan sætte en beskyttelse på.
Gravatar #14 - Mnc
2. aug. 2011 13:54
#7
Der er vi så uenige.

I min verden:

Et password skal ikke på noget tidspunkt hives ud igen.

Password Managers er ikke til for at huske mine passwords for mig, men for at jeg så kan slippe for, at indtaste dem manuelt hele tiden.
Gravatar #15 - kasperd
2. aug. 2011 19:55
Mnc (14) skrev:
Et password skal ikke på noget tidspunkt hives ud igen.
Det er en brugbar feature, og der er ingen reel sikkerhedsgevinst ved at udelade funktionaliteten fra brugerfladen. Hvis man vil misbruge det kan man jo forberede en proxy, der stjæller de passwords, der sendes igennem.

Hvis du først har fået adgang til en browser med en ulæst keychain er det jo nemt at konfigurere den til at bruge din proxy, og derefter logge ind på alle de sites du vil stjæle cookies til. Det burde faktisk være nemmere end at skrive passwords ned fra skærmen.

At fjerne en brugbar feature for at give en falsk følelse af sikkerhed giver ingen mening.
Gravatar #16 - nielsbuus
2. aug. 2011 20:46
#15, jeg synes bestemt ikke det er sammenligneligt. Det ene er et tilrettelagt angreb der kræver ændringer i computerens netværksindstillinger og skal udføres over tid. Det kræver desuden stærke færdigheder. Det andet kan udføres impulsivt af en almindelig computerbruger.
Gravatar #17 - Alrekr
2. aug. 2011 21:58
@passwords: Brug Lastpass til at huske passwords for dig. Hvis du gider betale, så synkroniseres dine passwords også over til iPhone, Android og alt det andet hejs. Der skal bruges et hovedpassword, dine passwords gemmes på LastPass' servere i krypteret form - det eneste sted, de er i cleartext, er på din egen computer, når du har indtastet dit hovedpassword.
Gravatar #18 - Emil
3. aug. 2011 06:58
Mnc (6) skrev:
Og når man åbner Password Manager'en, så er det ikke muligt at se passwords, kun site & brugernavn.
Og de eneste options du har derinde, er om du vil slette et login, eller om du vil lukke PM.

Det undrer mig hvis Chrome ikke (som minimum) har lignende sikkerhed.


Nu skal jeg ikke lige kunne sige, om sikkerheden er blevet ændret siden jeg sidst prøvede, men jeg har da flere gange dekrypteret min wand.dat og fået alle passwords ud i klartekst. Det har jeg egentlig bare gjort med et program, som der blev linket til på Operas community-forum :)
Gravatar #19 - kasperd
3. aug. 2011 10:56
MadiZone (16) skrev:
Det ene er et tilrettelagt angreb der kræver ændringer i computerens netværksindstillinger og skal udføres over tid.
Nej, det kræver ikke ændringer af computerens netværksindstillinger, det kræver blot at man ændrer browserens proxyindstilling.

Desuden er det noget der kan udføres på ganske kort tid. Åben hver af de login sider du vil stjæle login til og klik på knappen til at submitte den form der allerede automatisk er udfyldt med brugernavn og password. Det burde være hurtigere end at skrive password af fra skærmen.
Gravatar #20 - nielsbuus
3. aug. 2011 12:16
#19, ja okay. Men jeg kender ikke nogen proxytjeneste selv som opsnapper passwords, så jeg går ud fra at det ville kræve nogle googling fra min side - eventuelt at jeg opsatte min egen server. Med andre ord skal der en hvis forberedelse til og en del færdigheder. Jeg løber desuden den risiko at der er logs og historik som afslører min udåd, hvis ikke jeg passer på.

Det er stadigvæk ikke det samme som at smutte ind i Chrome's indstillinger og tage et screendump, hvilket ikke efterlader logs.
Gravatar #21 - kasperd
3. aug. 2011 12:41
MadiZone (20) skrev:
jeg går ud fra at det ville kræve nogle googling fra min side - eventuelt at jeg opsatte min egen server. Med andre ord skal der en hvis forberedelse til og en del færdigheder.
Men hvorfor skulle man acceptere en forringelse af softwarens brugbarhed hvis den ekstra sikkerhed alligevel kan omgås hvis man gider forberede sig lidt?

MadiZone (20) skrev:
Jeg løber desuden den risiko at der er logs og historik som afslører min udåd, hvis ikke jeg passer på.
Logfilerne vil jo ligge på en proxyserver under din kontrol, dem kan du nemt slette. Der vil selvfølgelig også ligge logfiler på serverne, som viser logins fra proxyserverens IP. Det kan man omgå på flere måder:
- Kør kommunikationen igennem tor eller lignende.
- Afbryd kommunikationen så snart proxy har modtaget password.
- Fake siderne så der aldrig kommunikeres med den rigtige service.

Hvis du efterfølgende vil misbruge passwordet er du alligevel nødt til at sikre dig at det ikke kan spores.

Faktum er at det kan lade sig gøre at få passwords ud derfra, og det er umuligt at forhindre. Hvorfor besværliggøre legitim brug når det stadigvæk ikke forhindrer misbrug?

Der er mange andre måder at gøre det på. Man kan kopiere de nødvendige filer og tage et dump af nøglen fra hukommelsen.

MadiZone (20) skrev:
Det er stadigvæk ikke det samme som at smutte ind i Chrome's indstillinger og tage et screendump, hvilket ikke efterlader logs.
Til gengæld efterlader det et screendump på computeren, vhis ikke du husker at slette det. Og du mangler stadig at få det screendump placeret et sted hvor du kan tilgå det senere.
Gravatar #22 - nielsbuus
3. aug. 2011 13:35
#21, vi er slet ikke enige om at der er tale om "ekstra sikkerhed der alligevel kan omgås". I øvrigt er dit angreb afslørende, fordi jeg vil kunne se i min browser at der er angivet en (for mig) ukendt proxyserver som fører tilbage til dig eller gør dig mistænkt, fordi du er den eneste i min omgangskreds som behersker proxyservere.

Hvis jeg trykker på printscreen og logger ind på en webmail som f.eks. gmail, så kan jeg trykke CTRL+V og bom. Så står det ingen steder - hverken registreringsdatabasen eller filsystemet at jeg nogensinde har dumpet skærmbilledet.

Hvis offeret fik en udskrift af loggen fra internetudbyderen (Chrome har jo ikke gemt den, hvis jeg anvender Incognito mode), så vil den blot vise internetforbindelsen på et eller andet tidspunkt har været på Gmail, men eftersom gud og hvermand har sådan en konto, så er det et blindt spor.

Hele denne her tråd er ikke startet fordi jeg frygter at russiske cyberkriminelle vil overtage min Newz-konto, men fordi jeg gerne vil bruge Chrome's nøglering uden at servere alle mine logins på et sølvfad til enhver der låner min computer i 2 minutter uden mit opsyn.

I øvrigt kunne jeg godt acceptere at man kan se gemte passwords, hvis ellers at de var beskyttet af en hovednøgle som skulle indtastes ved hver visning, samt at visningsforsøg bliver logget.
Gravatar #23 - kasperd
3. aug. 2011 14:14
MadiZone (22) skrev:
I øvrigt kunne jeg godt acceptere at man kan se gemte passwords, hvis ellers at de var beskyttet af en hovednøgle som skulle indtastes ved hver visning
Hvis browseren er konfigureret til at keychain altid er låst, og der skal indtastest masterpassword hver gang en password form skal udfyldes, så kommer det andet af sig selv. Det vil ganske enkelt ikke være muligt at vise passwords på skærmen uden at låse keychain op først.

Hvis browseren ikke kan konfigureres til hvor mange sekunder der skal gå efter masterpassword er indtastet før keychain låses igen, så er det en mangel i browseren.

Personligt bruger jeg dog separate logins til at opnå ca. samme beskyttelse. Hvis nogen skal låne min computer, så sker det ikke med mit login.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login