Surpriza!!! Chrome si Firefox va afiseaza parolele in clar!!!

February 4, 2013

Stiai ca Chrome si Firefox iti afiseaza parolele in text clar si oricine are acces fizic la calculatorul tau iti poate afla parolele in mai putin de 30 de secunde fara a fi necesar sa iti instaleze vreun program special. Da, este adevarat. Chiar daca noi folosim conexiuni criptate cu SSL intre browser si website-uri nu suntem protejati in acest caz absolut deloc. Tot ce trebuie sa faca cineva pentru a ne afla parolele salvate in browsere este sa acceseze Optiuni > Parole salvate, dupa cum se vede mai jos:

Chrome: File > Setari >

001chrome

-“Afisati setarile avansate

002chrome

 

-“Gestionati parole salvate

003chrome

 

 

-In dreptul site-ului si username-ului al carei parola vreti sa-l aflati apasati “Afisati

 

004chrome

 

Si stupefiant, se vede parola.

005chrome

La fel Mozilla Firefox:

-“Optiuni” , “Optiuni

006Firefox

-In tabul de “Securitate” apasam “Parole salvate…

007Firefox

 

– Apasam “Arata parolele“, trecem de cel mai mare prag de securitate “Sigur doriti sa afisati parolele?

008Firefox

– Raspundem cu “Da” si din nou stupefiant se vede parola.

009Firefox

 

 

Se pare ca desi pe locul 3 in top cei de la microsoft cu Internet Explorer au fost mai precauti, desi parolele pot fi salvate, pentru a le vizualiza avem nevoie de parola din Windows sau de domeniu a utilizatorului care a salvat-o.

Recomand ca masura de securitate a nu se utiliza optiunea de a salva parolele in cele 2 browsere mai sus mentionate, si cea mai importanta masura de securitate pe care o recomand este de fiecare data cand parasiti spatiul de lucru(calculatorul) chiar si pentru un minut sa blocati windows-ul prin combinatia de taste: “Tasta Windows+L“.

32 Comments. Leave new

LOL :). Doar fiindca pot fi afisate, nu inseamna ca sunt salvate ‘in clar’. Evident ca trebuie salvate in asa fel incat sa poata fi decriptate, altfel acest feature n-ar avea cum sa functioneze. Si sunt decriptate cand apasam pe Afiseaza. Toate browserele au conceptul de “master password” despre care n-ati scris nimic.

Windows 8 are chiar un feature ca poate sa afiseze parolele in timp ce le tastam, asta nu inseamna ca sunt trimise ‘in clar’ la server. Si bineinteles, faptul ca Internet Explorer cere parola de Windows pentru a afisa parolele stocate iarasi nu inseamna ca sunt salvate diferit fata de Chrome si FF.

Oricine raspunde Yes la intrebarea Do you want IE/Chrome/FF to save your password? si-si lasa calculatorul unlocked se expune la anumite riscuri. Si chiar si cine raspune No si-si lasa calculatorul unlocked fara sa dea sign out de pe facebook, gmail etc se expune la riscuri. Si in general, oricine atinge calculatorul se expune la riscuri :). Viata e riscanta.

Eu zic sa mai investigati putin inainte sa publicati astfel de articole. Sau e scris “pe comanda”? 🙂 He he…

… “stupefiant” indeed 🙂

Nu cunosc prea bine aceste browser-e pentru ca nu le prea folosesc (eu apreciez browser-ul Opera). Insa ma surprinde rationamentul prin care daca se pot vedea parolele inseamna ca sunt stocate in clar.

Ele probabil sunt stocate criptate pe disc si doar utilizatorul Windows (vorbim aici de versiunea de Windows a browser-elor, nu?) pentru care s-a facut stocarea le va putea vizualiza.

Daca utilizatorul respectiv este singurul utilizator de pe statie si, mai rau, nu are nici o parola, atunci, parerea mea, problema de securitate este in alta parte.

Problema este foarte simpla si se refera atunci cand cineva are acces fizic la calculatorul tau un minut atunci cand mergi la o tigara sau la toaleta.

Marius Bancila
February 5, 2013 12:31 PM

SOC si GROAZA! Dacian Miron, inainte sa scri prostii, documenteaza-te. Nici un browser nu pastreaza in clar parolele, ci incriptat. De exemplu Chrome foloseste CryptProtectData din API-ul de Windows, ceea ce face ca parola criptata sa nu poate fi decriptata decat pe aceiasi masina de catre acelasi user. Evident, ca fiecare browser ii arata userului ce parole are salvate si care sunt ele. Dar asta nu inseamna nici pe departe ca sunt pastrate in clar.

Mai multe informatii:
http://tech.pro/tutorial/828/how-google-chrome-stores-passwords
http://lifehacker.com/5944969/which-password-manager-is-the-most-secure
http://superuser.com/questions/146742/how-does-google-chrome-store-passwords

Daca utilizatorul respectiv este singurul utilizator de pe statie si, mai rau, nu are nici o parola, atunci, parerea mea, problema de securitate este in alta parte.

+1, Andrei 🙂

@Dan: atunci de ce nu scrieti asa? Daca-l lasi unlocked si vine cineva fizic, intr-un minut poate sa forwardeze toate mailurile tale din trecut si viitor la un cont al lui, sa-ti injure prietenii pe facebook, sa-ti ia toate documentele pe un memory stick, sa-ti anunte subalternii pe mail ca au primit o marire de salariu sau ca au fost concediati, sau sa dea un feedback sefilor all the way up pana la CEO :), sa-i scrie un mesaj sotiei tale din partea ta… the possibilities are endless :). Faptul ca poate sa dea 100 de clickuri ca sa vada o parola pe un site s-ar putea sa fie o problema minora si sa nu fie chiar primul lucru pe care-l face un utilizator tech-savvy si rau intentionat cand prinde acces fizic la un calculator unlocked.

Am modificat, dar imi sustin nemultumirea, nu ar trebui afisate deloc.

Se poate rezolva problema prin setarea unei parole de Master pentru Firefox

SOC si GROAZA!
A venit apocalipsa! Etc etc…
Surpriza pentru cine? Mi se pare atat de comuna chestia asta (ca sa nu zic utila pentru mine ca imi uit unele parole des) .. ca rad de unul singur la titlul ala.

Daca vrei sa ai securitate nu lasi acces la browserul tau. Si atat.

Acum titlu e si mai comic: “Surpriza!!! Chrome si Firefox va afiseaza parolele in clar!!!”.

Intr-adevar, ar fi fost foarte util daca le afisa criptate utilizand metoda amintita de autor :))

P.S. de ce surpriza?

Marius Bancila
February 5, 2013 2:27 PM

Cred ca ar fi foarte util sa afiseze parolele asa criptate cum sunt. Atunci soc si groaza pe un coleg de birou care imi intra pe computer in timp ce sunt in pauza de masa, fiindca am uitat sa blochez computerul.

La fosta firma unde lucram si la actuala firma daca iesi la tigara, pipi, etc. si te departezi la minim 15m de calc si nu l-ai incuiat o sa fi tinta unor atacuri informatice. Mai exact o sa vezi ca s-a trimis mail la toata echipa de pe calc tau cu “Dau bere gratis la toata lumea” samd. pentru a stimula disciplina de a incuia calculatorul. Si nu lucrez intr-un mediu militar.

Sincer daca iti lasi masina cu motorul pornit (cheile in contact evident) si te duc in magazin sa iti iei… tigari? (na, tigarile fac rau inca o data) s-ar putea sa nu o mai gasesti.

Parolele statice sunt vulnerabile întotdeauna. Doar parolele dinamice oferă anumite garanții, iar dintre cele dinamice doar cele deductibile sunt invulnerabile.

Logic ca le poti vedea 🙂

tasta Windows-L cand pleci de calculator.

Jees

Buna,

Chiar daca nu e atat de riscant ca iti poti vedea parolele in clar la propriul calculator, mi-a placut articolul.
Stiam ca se salveaza pe undeva parolele, nu stiam ca se pot vedea.
Nu stiu de ce trebuie sa existe asa comentarii rautacioase.

O zi frumoasa!

Soc si groaza cand va vedea ca la chrome acestea sunt stocate de fapt pe serverele google si cand schimb pc-ul si te loghezi pe contul google cu chrome, ai deja toate parolele la indemana. Asta da SOC!
N-am mai ras asa bine de mult.

Cand apesi combinatia de taste Windows+L se blocheaza Windows-ul din cate am inteles!
Dar pentru al debloca se apasa aceiasi combinatie?

Pentru a debloca trebuie sa apesi Ctr+Alt+Del.

Daca nu ar stoca parolele criptate two-way (criptare/decriptare) atuci cum plm ai vrea sa-ti faca autocomplete cand dai “save password for this website”?
Omg.

Parola de la facebook de ce nu se salveaza la google chrome? Mie imi apare la never saved. Ma puteti ajuta, va rog?

Daca apare in lista la never saved mergeti pur si simplu cu mouse-ul pe el si in partea dreapta va va aparea un X, dati pe el si vi se va sterge din lista respectiva, dupa aceea relogativa pe facebook si va va aparea din nou optiunea de save password.

Pe Google Chrome am incercat sa vad daca imi apare parola de la facebook si nu merge ca ea imi apare la Never Saved, am dat x dar tot degeaba. Imi poate spune cineva ce pot sa fac va rog ca sa imi apara?

Pai asa am facut de vreo 4 ori am dat X si a aparut din nou sau nu apare deloc.

Trebuie sa aflu neaparat o parola la cineva.
Cum fac mai exact?

Eu am meniul in limba engleza si nu imi apare fereastra ca a ta la chrome, imi apare decat o fereastra in care scrie search password. Niciun buton cu afisati, nicio fereastra in care pot introduce link-ul de la care vreau sa aflu parola.

stati linistiti nui panica parola se fura alfel asa e mai simplu de aflat chiar si de ai si pc oprit mai nou toate pozele de pe face au program de spionat pc asa sa fim seriosi merita panica man))))

deschide acolo roxana sau de nu te descurci schimba set limbi an engleza e caelasi lucru)))) lol

andreia conecteaza un alt cont de face apoi deconecteazate si cand introduci contul tau te antreaba daca salvezi user dai ok si o sa ai si tu parol salvata dddddd

mariana daca tii mortis sa afli si ai aces la pc lui sau nu cautama si te ajut free ))))

dar toti care vreti sa aflati parola cuiva retineti un lucru ca puteti fi condamnati )))))) sau nui bai pentru o parola va loati lejer 4 sau 5 anii de facultate )))))

oricum eu am parola,deci succes :))

arturmustata@yahoo.com
October 7, 2016 11:51 PM

google crome nu te mai baga in viata noastra

eu n-am parola si nici nu-mi trebuie!

Leave a Reply

Your email address will not be published.