Spoustě lidem přijde jako fajn nápad, nechat webový prohlížeč, aby si za něj pamatoval hesla. Rád bych Vám ukázal, že to tak docela fajn není.

Natočil jsem proto krátké video o tom, proč si neukládat hesla ve webových prohlížečích. A nejde jen o ukázaný Chrome.

Proč je to tak snadné

Chrome má uložená hesla v souboru Login Data. Ten najdete v umístění:

C:\Users\$username\AppData\Local\Google\Chrome\User Data\Default

Ve Windows používá Chrome funkce Data Protection API (DPAPI) a Triple DES které pro zašifrování souboru používají Vaše aktuální Windows heslo.

To znamená, že jakýkoliv program (nebo malware) běžící pod Vaším účtem si může hesla dešifrovat a přečíst. Právě takhle fungují programy jako ChromePass a ChromePasswordDecryptor. Pokud ukradnete účtu heslo, může je pak dešifrovat i jiný uživatel.

Vše je tak závislé na síle hesla do Vašeho Windows účtu. A i to je samozřejmě možné z napadeného systému získat.

Základem je tedy zajistit, že pod identitou Vašeho účtu nebude spuštěn nějaký malware, který si soubor z hesly dešifruje a pak je pošle útočníkovi.

A není to jen o Chrome, stejně to funguje i na Firefoxu a dalších prohlížečích.

 

Pokud si nezamknete počítač

Jak psal Honza Pilař na LinkedIn

🏠 Když odcházíte z domu, tak jej zamknete. 
🚗 Když odcházíte od auta, tak jej zamknete.
💻 Když odcházíte od počítače, tak jej…

🔒 ZAMKNĚTE ‼️

Win+L -> Není zač

Pokud si nezamknete komp a někam odejdete, může k němu někdo přijít a uložené heslo do libovolné služby zjistit i přímo z browseru, aniž by měl k dispozici jakýkoliv speciální software. Protože aby si hesla v Chrome (a dalších) v nastavení otevřel, potřeboval by heslo, které nezná, udělá to chytřeji. Chyba je právě v předvyplnění hesla do příslušných polí.

Pole „password“ se v browseru vytečkuje, takže nikdo heslo nevidí, jen tečky. Jenže stačí zmáčknout klávesu F12, čímž se otevře vývojářská konzole.

Zde najdeme pole s heslem a změníme type=“password“ na type=“text“.

Magicky se změní vlastnosti pole a protože už nemá vlastnost password, heslo se nám v plné kráse odkryje.

Easy peasy, lemon squeezy. 🙂

Tohle je přesně důvod, proč byste měli používat dedikovaného správce hesel – ten ukládá hesla v separátním šifrovaném souboru a výše popsaným způsobem vykrást nejde. Já osobně doporučuji Bitwarden – je zdarma a česky. Více o něm se dozvíte v samostatném článku: https://www.spajk.cz/bitwarden-spravce-hesel-zdarma/