Незашифрованные пароли в Chrome: так задумано изначально

Отличная штука эти открытые пароли. Моментально позволяет добыть чужие данные на компе.

Мое мнение таково, что открытый пароль - как стикер на мониторе с этим паролем. По той же логике /etc/shadow должен хранить пароли открытым текстом, «слишком много векторов»...

Аналогия с shadow неадекватна. Задача хранения в shadow — проверить правильность пароля, который предъявил кто-то извне. А задача хранения в броузере — предъявить правильный пароль внешним проверяльщикам. Если громадная разница между этими двумя задачами для тебя не очевидна, читай до просветления: http://ru.wikipedia.org/wiki/Криптографическая_хеш-функция

Вот и КО подтянулись. Объясни мне зачем тогда эта функция вообще имеется в браузерах? Чтобы сделать еще одну дыру, именно это следует со слов разработчиков Chrome. Никто не запрещает все упаковывать в контейнеры со строгим шифрованием. В опере очень грамотно решен этот вопрос (хотя не включено по умолчанию) пароль к контейнеру может быть запрошен каждый раз, когда к нему обращаются. Это сходно с твоими домыслами:

проверить правильность пароля, который предъявил кто-то извне

В фф для этой цели служит мастер-пароль. То что в хроме нет аналогичной фичи — странновато.

Объясни мне зачем тогда эта функция вообще имеется в браузерах?

Для удобства, очевидно же.

Никто не запрещает все упаковывать в контейнеры со строгим шифрованием.

Если нужно каждый раз вводить мастер-пароль, то всё удобство сходит на нет.

То что в хроме нет аналогичной фичи — странновато.

Так разрабы и говорят, что сделали мы так специально и не собираемся ничего менять.

Значит те кому нужно пусть пользуются фф.

Если нужно каждый раз вводить мастер-пароль, то всё удобство сходит на нет.

ССЗБ. Продолжай и дальше ждать момента, когда похакают все акки к твоим гмейл, лицокниге и/или вк.

А для этого все три перечисленные ненýжны используют аутенфикацию по мобилке.

Всё, хватит. Сливы мобильных номеров для спама мегахорпорациям личное дело каждого. Сервисы были выбраны с тонким намеком. Твои слова его подтвердили.

Но, ведь можно использовать Gnome Keyring/KWallet/etc.

Зачем в браузер тянуть то, что дублирует функционал рабочего окружения. Или я чего-то не так понимаю?

Или я чего-то не так понимаю?

Это игра. Гугл предоставляет удобные и «бесплатные» сервисы не просто так.

Сливы мобильных номеров для спама мегахорпорациям личное дело каждого

Какого спама? Ни разу не получал смс-спама от гугла или лицокниги.

Все правильно чувак говорит. Лучше было бы, конечно, если бы была технология безопасного инжектинга паролей. А в той ситуации что есть - без разницы что да как.

Использую Chromium как второстепенный браузер, а гугло-сервисам повсюду есть альтернативы. Первостепенные пароли лежат в голове; те, которые можно выложить практически в свободный доступ - в Gnome Keyring. Любая игра ведётся с обеих сторон - им нужна выгода, нам нужна свобода.

Если есть те, кто играет по правилам Гугла, не заботясь о своей безопасности -

Плохой дядя может сдампить все ваши кукисы, скачать историю, установить шпионские расширения, или установить в ОС ПО для слежки.

- это Win-специфичная проблема в основном, то там Гугл не основной игрок, тут уж MS правит бал.

Плюсую. Любители шифровать хранящиеся пароли должны гореть в аду.

Отличная штука эти открытые пароли. Моментально позволяет добыть чужие данные на компе.

При наличии физического или удаленного доступа к паролям ты в 99% случаев можешь вытащить и мастер-пароль.

Единственное безопасное решение это двухфакторная авторизация с токеном, но ведь её не используют почти нигде.

А ведь могли бы просто добавить настроечку - Hide Passwords.

Итак, рассмотрим ситуацию более глубже. Эрик Реймонд придерживается той же позиции, что и разработчики Chrome:

Другой  урок  касается  безопасности.  Некоторые  пользователи   fetchmail'a
просили  меня изменить программу так, чтобы она хранила зашифрованные пароли
в файле rc.

Я не сделал этого,  потому  что  это  не  добавляет  никакой  защиты.  Любой
человек, имеющий право читать ваш файл, мог бы запустить fetchmail под вашим
именем   и,   возможно,   декодировать   ваш  пароль.  Шифрование  пароля  в
.fetchmailrc могло бы дать людям ложное чувство защищенности. Общее  правило
здесь следующее:

17.  Система  безопасности  надежна,  пока  надежны  ее  секреты.  Избегайте
псевдо-секретов.

Хорошо, допустим, что это так и есть. Кто-то скажет, что /etc/shadow в данном случае это нечто сверхзащищенное и никогда не может быть поставлено в ряд с данной проблемой. Допустим. Но тогда любой софт, который работает с паролями, вроде keepass, pass и т.п. точно также дают ложное чувство защищенности. И как минимум keepass должен запускаться от пользователя root, работать только с файлами root, а еще не менее важно, сессия иксов или того гляди xterm запускаться напрямую, минуя всякие su, sudo. Многие ли так делает в реальной жизни? Наверное, немногие.

Тем менее, вектор атаки резко сужается, если пароль все же защищен и имеет достаточно длинный пароль. Потому что доступ к устройству клавиатуры требует повышенных привилегий. То, что в браузерах можно сделать кейлоггер на уровне JavaScript проблема именно браузера, а не того, что такая защита ничего не дает.

Невзламываемых систем не существует.

Так пусть злоумышленники сильно постараются прежде чем получить то, чего они так хотят.

есть олени, которые про ДЕ даже не слышали. но зато у них фотошопы есть и игры ААА класса

Мой keepass под оффтопиком запрашивает мастер-пароль только в UAC-elevated окне. Удачи с попыткой его стащить.

Потому что доступ к устройству клавиатуры требует повышенных привилегий.

В иксах — нет. Не существует способа заблокировать прослушивание клавиатуры любым подключенным к иксам клиентом. Он получит все события с клавиатуры, независимо от окна или попыток grab'ить ввод.

Так пусть злоумышленники сильно постараются прежде чем получить то, чего они так хотят.

Ну да, и юзер который хочет вытащить свой пароль пусть тоже старается.

А лучше чтобы юзер при попытке вытащить пароль скачал какой нибудь «восстановитель паролей» который отошлет его пароли куда следует.

Мой keepass под оффтопиком
В иксах — нет.

Т.е. проблема ОС-специфична и всетаки имеет способы решения. Но гуглу это не надо, вот и весь вывод.

Единственное, что я могу с этим поделать - просвещение на локальном уровне. И так пусть каждый. А вот ААА игроки, что-ж, это их выбор, но в свете последних событий и GNU начитнает ААА-кать.

Истерят пользователи вантуза небось. У которого никакого стандартного хранилища паролей нет. Пусть истерят дальше. А мужик все правильно говорит. Нефиг пускать за комп кого попало.

Всё правильно говорит.

Джастин Щух

Первая буква в фамилии читается как «Ш».

Ну да, и юзер который хочет вытащить свой пароль пусть тоже старается.

Безопасность это компромисс. Не надо перегибать. То, что сделал гугл это добавил лишнюю дыру, прикрыв зад пустословием о «ложном чувстве безопасности». Лучше бы вообще не запиливали эту фичу. Не так много народу компетентно в данном вопросе, поэтому и буггурт у общественности верный.

Мое мнение таково, что открытый пароль - как стикер на мониторе с этим паролем.

Гугл, видишь, считает, что стикер с паролем в некотором смысле надежнее, потому что его из интернета прочитать нельзя. Поэтому если ты хранишь пароли у себя на компе, то либо защищай комп от проникновения, либо не надейся, что браузер (по крайней мере, без шифрования мастер-паролем) тебя от чего-то защитит.

На самом деле, такая политика имеет смысл: если заботишься о конфиденциальности паролей, то изволь заботиться на 100%, а не надеяться, что твой wand.dat... э... хранилище паролей Хрома недоступно злоумышленникам.

Я, правда, не знаю, почему в Хроме нет шифрования мастер-паролем. Однако Хромиум (может, и Хром) умеет хранить пароли в KWallet или в gnome-keyring.

По той же логике /etc/shadow должен хранить пароли открытым текстом, «слишком много векторов»...

Ну, логика та же, а исходные задачи разные: в одном случае пароли нужно только проверять, поэтому можно взять хэш, а в другом его нужно куда-то передавать, поэтому возможно разве что симметричное шифрование.

По той же логике /etc/shadow должен хранить пароли открытым текстом, «слишком много векторов»...

Шадов - это система автентикации а не хранилка паролей. А бровзер пароли хранит чтобы их открыто где-то вводить.

ССЗБ. Продолжай и дальше ждать момента, когда похакают все акки к твоим гмейл, лицокниге и/или вк.

То есть твой комп защищен хуже чем твой бровзер или что? Если злой дядя вломился на твой комп - защита паролей в бровзере - наименьшая твоя проблема. А вообещ бровзеры надо интегрировать с системой централизованного хранения паролей типа kwallet.

В опере очень грамотно решен этот вопрос (хотя не включено по умолчанию) пароль к контейнеру может быть запрошен каждый раз, когда к нему обращаются.

Нормальная реализация этого дела требует механизмов самопроверки и шифрования кода, чтобы никто не мог вклиниться в работу opera.exe и скопировать пароль, когда ты его введешь. Может быть, разрабы Хрома не хотят этим заниматься. Хотя было бы неплохо. Впрочем, с учетом наличия «стандартных» хранилищ паролей под Линукс, это не особо важно.

Это сходно с твоими домыслами:

проверить правильность пароля, который предъявил кто-то извне

Какой же это домысел? Это правда.

Гугл, видишь, считает, что стикер с паролем в некотором смысле надежнее, потому что его из интернета прочитать нельзя.

Это проблема номер один и никогда не исчезнет. Люди (большинство) ведет образ прямо противоположный волкам-одиночкам. Девушка, жена, парень, муж, сын, дочка до сих пор часто делят один компьютер между собой. Сосед, друг, враг могут придти к тебе домой и в удачный момент списать этот пароль точно также как со стикера.

Ну, логика та же, а исходные задачи разные: в одном случае пароли нужно только проверять, поэтому можно взять хэш, а в другом его нужно куда-то передавать, поэтому возможно разве что симметричное шифрование.

Задача одна: ААА. То, что какие-то сайты не используют SSL/TLS не имеет прямого отношения к рассматриваемой проблеме. Пароль должен быть скрыт и не известен никому кроме его хозяина. То, что компьютер оперирует паролями вообще уже является «дырой», но т.к. других удобных способов пока не придумали (или придумали, но не распространенны повсеместно), то следует всетаки предпринимать какие-то шаги по усложнению получения пароля. Работы надо сказать ведутся в этом направлении, например, уже имеются прототипы по авторизации по сетчатке глаза.

Хэш на все случаи жизни хранить невозможно, должен быть плэйн текст. А уж спрятан он тем или иным обратимым (а иначе как?) алгоритмом, или плэйнтекстом - какая в сущности разница?

Кто-то скажет, что /etc/shadow в данном случае это нечто сверхзащищенное

Шадов паролей не хранит. Там их тупо нет.

. И как минимум keepass должен запускаться от пользователя root

У тебя в голове - каша.

Тем менее, вектор атаки резко сужается, если пароль все же защищен и имеет достаточно длинный пароль.

Если чувак уже на твоей машине под твоим аккаунтом - «вектор атаки» уже кончился. Все остальное подметет Jack и прочая фигня.

какая в сущности разница?

У тебя вайфай без шифрования? Нет? А почему, ведь WPA2 можно сломать... Вопрос в том, сколько на это потребуется время. А в данном случае любой школяра тебя поимеет.

Шадов паролей не хранит. Там их тупо нет.

Это олд скул. Когда-то там они были. Или ты про то, что у тебя даже для локалхоста поднят в облаке openldap?

У тебя в голове - каша.

Ну все, ты типа этим поднял свой уровень доминирования! Может есть конструктивная критика, а?

Все остальное подметет Jack и прочая фигня.

ЯННП.

В опере очень грамотно решен этот вопрос

Да, просто отлично в опере сделано: если ты забыл пароль, то никак его не восстановишь, пофиг что он есть в браузере — посмотреть его все равно нельзя.

Девушка, жена, парень, муж, сын, дочка до сих пор часто делят один компьютер между собой.

Один компьютер или один аккаунт на одном компьютере? Во втором случае вряд ли тут может идти речь о конфиденциальности. В первом случае поможет шифрованный хомяк. При отсутствии шифрованного хомяка и/или рут-доступе у всех участников все равно возможен подмененный Хром, кейлоггер, сниффер трафика и проч. (фига себе отношения у них!)

Сосед, друг, враг могут придти к тебе домой и в удачный момент списать этот пароль точно также как со стикера.

Хм... сосед и друг которые будут выжидать удачного момента, чтобы спереть пароль, или враг, при котором я ввожу мастер-пароль и потом почему-то отхожу от компьютера против случайного вируса, ворующего пароли от gmail. Я думаю, вероятность второго выше.

Задача одна: ААА.

Только с разных сторон. /etc/shadow используется для проверки credentials пользователя. В данном случае нужно отправлять credentials пользователя на сервер. Причем credentials эти изначально предназначены для хранения в голове, а не в компьютере. Или что ты имел в виду?

Пароль должен быть скрыт и не известен никому кроме его хозяина. То, что компьютер оперирует паролями вообще уже является «дырой»

Ну вот, Хром не хочет прикрывать эту дыру собственными велосипедными полумерами и потом говорить, что, мол, все надежно, дыры нет.

Подход, на самом деле, похвальный, а именно: «Не умеем — не беремся». Было бы хорошо, конечно, если бы умели.

следует всетаки предпринимать какие-то шаги по усложнению получения пароля

Тут вопрос в том, насколько все усложняется. Если время взлома увеличивается с часа до 100 лет, это хорошо. Если с часа до суток ценой тысяч строк кода и серьезных неудобств для пользователя, это, скорее, security theater.

фига себе отношения у них

Вот именно. Как мистер и миссис Смит :) Тем не менее соблазн имеется, а при откром пароле еще больше. Ну для примера, открыл парень музуку со своего вк, ушел типа в душ, а тут девушка бац и списала пароль удобно предоставленный Chrome. То что этот помысел (слежка) уже само по себе ССЗБ оставим в стороне.

при котором я ввожу мастер-пароль

А в Хроме его нет, обломись.

Или что ты имел в виду?

Вытягивание любых паролей из /etc/passwd уже по себе аналог того, что хранят браузер. Только для /etc/passwd нужен рут-доступ, а тут нет. При этом утверждается, что если получен доступ к этим файлам, то никакая защита не спасет. Спасет, имхо, когда лавочку к интернету прикрыли. У зловреда останется только контейнер с зашифрованными паролями, а в случае хрома его даже ломать не надо. Разница есть? Далее, файрволл/селинкс может быть настроен так, что вектор атаки на получение паролей только через сам браузер и никакие закладки в виде отдельных кейлогеров не спасут - они просто не соединятся со своим хозяином. И всеравно тут хром дает все карты. В тоже время зашифрованный контейнер можно ломать и годами... Так понятней?

фаерфкос вперде.

Шадов - это система автентикации а не хранилка паролей.

Гонево. Fedora 19 по дефолту хранит их именно в /etc/shadow. Ты меня запутал своей некомпетностью!

Безопасность это компромисс.

Security through obscurity это не безопасность.

Вытягивание любых паролей из /etc/passwd

В passwd паролей нет.

для /etc/passwd нужен рут-доступ
утверждается, что если получен доступ к этим файлам, то никакая защита не спасет

Смотря от чего «не спасет». Скажем, пароли тех, кто ни разу не залогинился с момента взлома, так и останутся для взломщика тайной.

Спасет, имхо, когда лавочку к интернету прикрыли.

Почему интернет отключили не раньше (до появления зловреда), и не позже (после того, как зловред сцапал мастер-пароль)? Почему именно в тот момент, когда зловред уже внедрился, контейнер с паролями считал и слил, но мастер-пароль еще не сцапал? Как-то надуманно выглядт такой сценарий.

Security through obscurity это не безопасность.

Сделать дыру, будучи компетентным в этом вопросе еще хуже.
- Don't be evil?

В passwd паролей нет.

Да. Я уже повелся на слова r, потом все проверил.

Как-то надуманно выглядт такой сценарий.

Да. Но имеет право быть. Взомали, слили .dat, а чел выключил комп и ушел спать. Но вариант с файрволлом ненадуманный.

Сделать дыру, будучи компетентным в этом вопросе еще хуже.

Так вот в хроме дыру намеренно не обскурят, чтобы не создавать у наивных пользователей иллюзию безопасности.

Так вот в хроме дыру намеренно не обскурят, чтобы не создавать у наивных пользователей иллюзию безопасности.

Открытые пассы, для удобства и при этом без грамотной системы защиты всего этого - уже дыра по себе. Не надо этой фичи вообще в браузере. Пусть тренируют все память тогда. А так гугл угодил одним и при этом выставляет себя добрым. Это зло в чистом виде. Дать возможность утягивать пароли.

В любом браузере (включая хром) есть фикс на эту дыру — галочка «не запоминать пароли».