铬智能锁-它有多弱？

Question

我对Chrome的智能锁感到非常不安.似乎安装在我的Windows上的任何应用程序都可以快速访问我的所有密码。

我已经安装了True键来测试应用程序。我本来希望应用程序是离线的，但事实并非如此。为了记录在案，我试着“从Chrome导入所有登录”。我不需要通过Windows，而True Key刚刚得到了我所有的密码。

我非常担心这个系统，我不明白人们怎么可能使用这种系统。

我对保安有什么误解？

Answer 1

Chrome提供了自动填充密码的能力，而不需要用户输入任何身份验证，而不是登录到机器上。这意味着它必须拥有在该上下文中运行时访问存储的密码所需的所有信息。

这意味着在这个上下文中运行的任何其他应用程序(在您的用户帐户下)也可以访问该信息。

Chrome唯一能做的就是使用操作系统级别的保护来阻止其他用户读取您的数据。在windows下，它使用CryptProtectData函数。这将使用windows用户凭据加密数据--包括密码。如果您忘记了密码，那么这些数据是不可读的--即使管理员将其重置(尽管使用铬密码，它们将在线备份，下次使用google凭据登录时将被恢复)。

我对保安有什么误解？

在您的系统上运行的任何软件，在您自己的用户或管理员下，都应该被假定有权访问您所做的一切。如果它无法从密码存储中读取密码，那么还有许多其他方法可以获得它。从笨拙(启动chrome，指向chrome://设置/密码并从UI中读取它们)到在运行时从chromes内存中提取密码或Google键，或者在发送密码的网站中间插入假根证书和人工。

Answer 2

有些事情你需要考虑：

• 密码管理器是一种方便的工具，而不是安全工具。如果您想要有一个安全的密码管理器，它将必须保持所有的加密，这实际上是无法证明在这种情况下。
• 与不使用密码管理器相比，使用密码管理器总是更不安全，除非您手动控制其安全性方面，这是不发生的。您不知道数据存储在哪里，以什么格式存储，以及访问数据所涉及的过程是什么。
• 智能锁在任何时候都不能证明它是安全的。
• 密码学和实现细节至少应该被记录在某个地方，但它们没有，这让我非常怀疑Chrome的官方声明，比如“您的密码总是加密的”。他们没有说“在哪里”，这实际上发生在:当他们存储，当他们同步，什么时候使用缓存，什么时候发生一般的通信，等等。
• DEFCON 2016的一个结论指出：“消费者无法评估公司的安全索赔。我们需要更多的研究人员来调查公司代表消费者提出的安全索赔。”
• 每件事都是在某一点上缓存的。您的浏览器将使用大量的跨缓存，任何高于平均水平的特定应用程序都可以从中读取。