브라우저에서 비밀번호 관리자는 얼마나 안전합니까?


13

예를 들어, Opera에는 다양한 사이트에서 입력 한 사용자 이름과 암호를 기억하는 "wand"기능이 있습니다.

PC에서 데이터를 훔치는 트로이 목마가 있다고 가정 해 봅시다. 트로이 목마는 저장된 비밀번호를 브라우저로 해독하여 사용할 수 있습니까?

답변:


4

Bob의 답변에 언급 된 사항은 모두 유효하므로 반복하지 않습니다. 그러나 귀하의 질문이 유효한 관심사이므로 약간의 추가 정보가 도움이 될 수도 있다고 생각했습니다.

  • Opera의 Wand 기능을 사용하면 Preferences > Advanced > Security > Ask for password"세션 당 한 번"(Bob이 올바르게 지적한대로 보안이 제한됨), "x 분 / 시간마다"(선택하지 않은 경우)와 같은 선택 사항으로 마스터 비밀번호를 요청하는 빈도를 지정할 수 있습니다. .ini파일을 다루는 것을 신경 쓰지 말고, 원하는 빈도를 사용자 정의 할 수 있으며, "필요한 시간마다"(암호는 브라우징 세션 중에 메모리에 저장되지 않으므로 가장 안전한 옵션). Firefox를 사용하지 않지만 어딘가에 비슷한 확장 프로그램이 있다고 상상할 수 있습니다.

  • 완드 데이터는 wand.dat마스터 비밀번호를 사용하지 않으면 비교적 적은 노력으로 해독 할 수있는 형식으로 호출 된 파일에 저장 됩니다. 당신이 경우 어떻게 마스터 암호를 사용, 그것은 임의의 구성 요소와 현재 저를 탈출하는 알고리즘과 마스터 암호를 사용하여 암호화됩니다 (하지만 찾기 위해 쉽게해야합니다).

  • 평균 로그인보다 보안이 중요한 사이트에 비밀번호를 사용하는 경우 비밀번호 를 저장하지 않도록 선택할 수 있습니다 .

  • Opera의 개인 탭 (또는 다른 브라우저의 동등한 탭)을 사용하면 해당 탭의 세션 데이터를 "일반"탭과 별도로 저장하여 다른 보안 계층을 추가 할 수 있습니다.

  • Chrome과 그 파생 상품에 사용되는 보안 모델 (즉, 각 탭을 별도의 스레드로 샌드 박싱)을 사용하면 보안이 더욱 강화됩니다.

  • 정기적으로 다음과 같은 방법으로 키로거로부터 보호 할 수 있습니다.

    • 안티 바이러스 및 방화벽 소프트웨어 업데이트; 과
    • 비밀번호 변경

요약하면 :

  • 브라우저의 보안 수준과 로그인 수준은 대부분 귀하 에게 달려 있습니다 .

  • 사람은 매우 숙련과 수완이 경우, 그들은 아마도 결국 데이터를 얻을 수 에도 불구하고 위의 모든주의 사항,하지만 브라우저의 데이터가 훨씬 더 안전하고 세련의 수준을 올릴 것 현저 균열이 필요합니다.


22
  • 컴퓨터에 맬웨어가있는 경우 암호를 입력하거나 저장 한 암호를 안전한 것으로 간주 할 수 없습니다. 암호를 해독하는 데 필요한 세부 정보를 입력하자마자 KeyPass 데이터베이스와 같은 암호화 된 암호라도 공격자가 암호를 검색 할 수 있습니다.

  • 브라우저는 일반적으로 최소한 기본 설정이 아닌 저장된 비밀번호의 보안에 크게주의를 기울이지 않습니다.


PC에서 데이터를 훔치는 트로이 목마가 있다고 가정 해 봅시다. 트로이 목마는 저장된 비밀번호를 브라우저로 해독하여 사용할 수 있습니까?

한마디로 그렇습니다. 브라우저는 일반적으로 기억 된 암호를 암호화하지 않으므로 간단한 노력으로 읽을 수 있습니다. 저장된 키를 사용한 암호화는 아무 소용이 없습니다. 브라우저가 암호를 해독 할 수 있으면 같은 컴퓨터에서 실행중인 다른 프로그램도 동일하게 수행 할 수 있습니다.

저는 Firefox에 대해 가장 잘 알고 있습니다.

Firefox에서는 '마스터 비밀번호'를 설정할 수 있습니다. 그렇게하면 저장된 비밀번호를 마스터 비밀번호로 암호화합니다. 그러나 편의상이 마스터 비밀번호를 사용하여 세션 당 한 번만 로그인하면됩니다. 로그인하면 저장된 암호를 해독하는 데 필요한 정보가 메모리에 저장되어 액세스 할 수 있습니다. 더 안전하고 번거로운 방법은 Firefox가 저장된 비밀번호를 찾아야 할 때마다 마스터 비밀번호를 입력하도록하는 것입니다.

저장된 비밀번호가 완벽하게 암호화되어 완전히 액세스 할 수없는 경우에도 비밀번호를 해독하여 웹 양식에서 특정 시점에 입력해야합니다. 암호화되지 않은 암호를 메모리에 보관하는 것을 의미합니다. 실제로 암호를 메모리에서 가져 와서 공개하기 위해 설계된 ' 별표 표시기 '프로그램 이 상당히 많습니다 . 멀웨어는 이론적으로 동일한 작업을 수행 할 수 있습니다.

또한 맬웨어가 사용자를 키로그하여 공격자가 입력 한 모든 비밀번호를 검색 할 수 있습니다.


주요 브라우저 (IE, Chrome, FF)에 대한 암호 보안에 대한 심층적 인 연구가 여기 있습니다 . 요약하자면 Chrome과 IE10은 모두 Windows 암호화 루틴에 의존합니다. 그러나 동일한 사용자로 실행되는 다른 프로그램 , 즉 멀웨어에 대해서는 쓸모가 없습니다. 다시 말하지만, 실행중인 프로그램 (관리자로서)은 메모리에서 정보를 가져 오거나 어쨌든 키 로깅을 통해 정보를 얻을 수 있습니다.

암호화 방법은 나중에 분석하기 위해 저장된 데이터를 도용 할 가능성을 고려할 때 가장 중요합니다. 예를 들어 누군가가 컴퓨터를 몰래 복사하거나 복사하거나 도용하는 경우. 일반적으로 모든 최신 브라우저는 이러한 형태의 공격을 차단하는 적절한 작업을 수행합니다. Windows 사용자 계정에 로그인하여 Windows 암호화 된 데이터를 복구 할 수 있고 Windows 비밀번호는 더 이상 완전히 안전하지 않기 때문에 강력하고 안전한 비밀번호를 사용하는 Firefox를 다시 사용하는 것이 좋습니다. 이 중 어느 것도 결정된 공격자를 막을 수는 없습니다.


인증자를 사용하면 악의적 인 공격자의 암호를 훔치기위한 옵션이 크게 줄어 듭니다.
o0 '.

1

NirSoft는 Internet Explorer 8을 암호로 해독 할 수있는 "IEPassView"라는 도구를 제공합니다. Windows 용 시스템 정보도 동일하게 수행 할 수 있습니다. 상단의 키를 클릭하십시오.

NirSoft는 많은 유명한 브라우저 ( http://www.nirsoft.net/password_recovery_tools.html )에 "암호 복구"도구를 제공 합니다. 이는 내장 된 암호 저장소가 안전하지 않다는 것을 보여주는 "개념 증명"을 만듭니다. .


음 ... 사실 약간 오해의 소지가 있습니다. 이와 같은 도구는 마스터 비밀번호로 보호되는 로그인에서 전혀 작동하지 않거나 로그인 세부 사항을 "암호 해독"하기 위해 마스터 비밀번호가 필요하다고 언급하지 못했습니다. 적어도 이것은 Opera / Chrome / Firefox에 해당합니다 .IE가 무엇을하는지 확실하지 않으면 바로 거기에있을 수 있습니다.
Amos M. Carpenter

1

Lastpass 와 같은 소프트웨어는 좋은 편리한 답변입니다. 그들은 당신에게 완전한 보안을 제공하지는 않지만 (여전히 방화벽, 바이러스 백신 등과 같은 기본 사항을 수행해야합니다) 암호를 관리하는 좋은 방법입니다. 또한 마법의 클라우드에 저장되어 있기 때문에 어디에서나 액세스 할 수 있습니다 (컴퓨터에 저장해야하는 로컬 소프트웨어와 달리).


1
다시 말하지만 로컬로 실행되는 맬웨어로부터 보호되지는 않습니다. 첫째, 맬웨어가 Lastpass 마스터 비밀번호를 가로 챌 수 있습니다. 이중 인증은이를 방지 할 수 있지만 대상 웹 페이지에 암호를 입력하는 과정에서 암호를 유출 할 수 있습니다. 문제는 컴퓨터에서 맬웨어가 실행 (높이)되면 암호화되지 않은 데이터가 망가진다는 것입니다. 그리고 암호화 된 데이터는 액세스하려고하자마자 망하게됩니다.
Bob

(여전히 좋은 제안입니다. [저는 개인적으로 클라우드 쓰레기를 사용하지 않는 Keepass를 사용합니다.] 그러나 질문에서 제기 된 요점을 해결해야합니다.)
Bob

@Bob은 로컬 컴퓨터 악성 코드에서도 암호를 가로채는 것과 동일한 일을 할 수 있다는 문제가 있습니다. 복사하여 붙여 넣기도 추적 할 수 있으므로 암호를 사용하면 추적됩니다. 좋은 방법은 없습니다. 2 단계 인증은 정말 이길 수 없습니다.
Griffin

그렇습니다. Keepass가 로컬에서 실행되는 맬웨어에 대해 더 안전하다는 말은 아닙니다.
Bob
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.