많은 브라우저 확장 프로그램 및 플러그인에서 "모든 데이터"(Chrome 및 Firefox 모두)에 액세스해야하는 경우가 점점 늘어나고 있습니다. Internet Explorer에 대해서는 언급하지 않습니다.

이러한 플러그인과 애드온이 내 은행 데이터 (예 : 방문시)에 액세스하거나 양식을 통해 제출 된 데이터에 액세스 할 수 있는지 궁금합니다.

애드온의 보안 영향은 무엇입니까?

이 게시물은 Firefox 및 Chromium / Google Chrome에만 적용됩니다. Internet Explorer, Opera 또는 모바일 브라우저에 대해서는 언급 할 수 없습니다. 또한, 내 수학은 더 잘못 될 수 있지만 기본 아이디어는 정확합니다.

물론 Firefox 및 Chrome / Chromium의 경우에는 가능하지 않습니다.

브라우저에 저장된 내 비밀번호는 안전합니까?

이 답변은 내가 가장 좋아하는 것 중 하나입니다. 브라우저가 저장 한 암호는 중요한 관점을 충족해야하며 보안 관점에서 악몽 같은 조건을 충족해야합니다. 일반 텍스트 이거나 일반 텍스트로 되돌릴 수 있어야합니다.

일반 텍스트와 암호화 및 해시

왜 나쁜가요? 누군가가 서버에 침입하여 암호 데이터베이스를 훔친다고 상상해보십시오. 두 가지 가능한 결과가 있습니다.

1. 암호는 일반 텍스트이거나 쉽게 되돌릴 수 있으므로 크래커는 이제 모든 계정에 대한 전체 액세스 권한을 갖습니다.
2. 비밀번호는 해시 (또는 암호화)되므로 비밀번호를 얻고 계정에 액세스하려면 해시에 대한 무차별 대입 공격이 필요합니다. 사용자 이름과 비밀번호를 도난 당하더라도 계정은 여전히 ​​안전합니다.

브라우저는 웹 사이트에 비밀번호를 보낼 수 있어야하므로 비밀번호를 해시 할 수 없으며 비밀번호 만 암호화 하거나 일반 텍스트로 저장할 수도 있습니다. 이것은 항상 명심해야 할 것입니다 (이메일 클라이언트, 채팅 애플리케이션 등도 마찬가지입니다).

암호화되었다고해서 안전하다는 의미는 아닙니다.

Firefox는 기본적으로 비밀번호를 저장할 수 있습니다. 또한 암호화합니다 . Chromium에도 동일하게 적용됩니다 (부록 "글쎄요 ..."참조 ). 이것의 문제점은 암호 해독 키도 암호와 함께 저장된다는 것입니다. 이로 인해 암호를 원하고 어떤 식 으로든 암호를 중지하지 않는 사람에게는 암호화가 약간 불편 해집니다.

그런 다음 키를 암호와 함께 저장하지 마십시오!

맞습니다. 암호를 보다 안전하게 하려면 키를 암호화 된 암호에서 멀리 가져와야합니다. Firefox에서 마스터 비밀번호 를 설정하면이 작업을 수행 한 다음 모든 비밀번호를 암호화 및 복호화하는 데 사용됩니다. 이 기술을 사용 하면 키 를 암호화 된 데이터와 분리 할 수 ​​있습니다 . 이는 항상 좋은 생각입니다 (결국 프론트 도어 키를 외부 도어 앞쪽 후크에 두지 않습니까?).

비밀번호는 비밀번호를 만드는 것만 큼 안전합니다

왜 이전에 비밀번호가 더 안전 하고 안전 하지 않다고 말했 습니까? 이제 비밀번호의 안전은 선택한 비밀번호에 따라 다릅니다. 즉, 암호 "asdf"는 어떤 식 으로든 안전한 것으로 간주되어서는 안됩니다. "12345"도 아닙니다. 좋은 암호는 긴 있기 때문에, 짐승 - 강제 그들이 상당한 시간이 소요됩니다. 암호 "VioletIsAnotherColor"는 두 번째 문자에 특수 문자가 포함되어 있음에도 불구하고 길이 때문에 "D0! l4riZe"보다 기술적으로 더 안전합니다. 이것에 대해 간단히 살펴 보겠습니다.

"VioletIsAnotherColor"
길이 : 20
가능한 문자 : 52 (26 소문자 + 26 대문자)

"D0! l4riZe"
길이 : 9
가능한 문자 : 77 (26 lower + 26 upper + 10digit + 15 specials)
특가 :! "@ $ % & / () =? * + #-

따라서 문자 세트와 길이를 알고 암호를 끊으려면 몇 번이나 시도해야합니까?

"VioletIsAnotherColor"
52 ²⁰ = ~ 20 지연 (~ 2 × 10 ³⁴ )

"D0! l4riZe"
77 ⁹ = ~ 95 조 (~ 9 × 10 ¹⁶ )

보시다시피, 후자의 비밀번호는 문자 세트가 더 넓음에도 불구하고 제한된 세트를 가진 긴 비밀번호보다 무차별 공격이 더 쉽습니다. 이것은 길이 때문입니다. (또 다른 단점은 첫 번째 질문은 기억하기 쉽다는 것입니다.) 문제에 대한 자세한 내용은이 IT 보안 질문을 참조하십시오.

따라서 가능 하면 암호가 아닌 암호를 사용하십시오 .

주제로 돌아가서 스푸핑 애드온의 비밀번호는 얼마나 안전합니까?

그들은 아니야. 애드온이 방금 방문한 웹 사이트에 액세스 할 수 있기 때문입니다. 입력 한 비밀번호를 포함하여 정보를 추출 할 수 있습니다. 애드온은 설치된 다른 소프트웨어와 마찬가지로 보안 위험이 있습니다. 신뢰할 수있는 애드온 만 설치하십시오.

큰! 어떻게 알 수 있습니까?

신뢰할 수있는 출처의 애드온 만 설치하십시오. Firefox의 경우 AddOns 페이지 이고 Chromium의 경우 Chrome 웹 스토어 이거나 작성자 / 배포자를 신뢰하는 경우입니다. 둘 다 애드온이 확인되고 안전하다는 것을 보증합니다.

어느 쪽도 아니 모질라 애드온 페이지 나 크롬 웹 스토어는 현재 부가 기능이 안전하다는 것을 어떤 방식으로 보장되지 않습니다. 그들은 악의적 인 애드온을 잡거나 잡을 수있는 자동 검토 프로세스를 사용합니다. 하루가 끝나도 여전히 위험이 남아 있습니다.

만 원에서 애드온을 설치 하면 신뢰합니다.

잠시만 기다려주십시오. 다른 설치된 소프트웨어에 대해서만 언급 했습니까?

물론이야! 설치된 다른 소프트웨어가 브라우저에서 비밀번호를 가져 오거나 MITM (Man-in-the-Middle) 공격을 수행하거나 뱅킹 웹 사이트를 속이는 프록시를 제공하는 것을 방해하는 것은 없습니다. 브라우저 플러그인도 마찬가지입니다. 경험의 원칙은 다음과 같습니다. 신뢰할 수없는 소프트웨어를 설치하지 마십시오.

결론

이것에서 무엇을 가져 가야합니까?

• 신뢰할 수없는 소프트웨어 / 플러그인 / 애드온을 설치하지 마십시오.
• 여전히 의심스러운 경우 마스터 비밀번호를 설정하십시오.
• 여전히 의심 스러우면 암호를 사용하여 브라우저를 신뢰하지 말고 저장하지 마십시오.
• 경우 여전히 의심, 어떤 애드온 / 플러그인을 설치하지 마십시오.
• 경우 여전히 의심하는 사용 중인 시스템 변조 할 수 없습니다.

부록 : "글쎄요 ..."

배우면서이 단락의 가정은 100 % 정확하지 않으며이를 수정하고 싶습니다. 다음 정보는 디스크의 비밀번호 저장에만 적용됩니다.

구글 크롬 / 크롬

실제로 않습니다 그것은이 실행되고있는 운영 체제에 따라, 디스크에 안전한 방법으로 비밀번호를 저장 :

Microsoft Windows

마이크로 소프트 윈도우 API는 CryptProtectData/ CryptUnprotectData암호 해독 / 암호화하는 데 사용됩니다. 이 API는 OS 계정 비밀번호와 함께 작동하므로 해당 비밀번호만큼 안전합니다.

맥 OS

MacOS 용 레이어는 현재 사용자의 키 체인 암호를 기반으로 임의의 키를 생성하고 해당 키를 키 체인에 추가합니다. 다시 말하지만 이것은 사용자의 비밀번호만큼 안전합니다.

리눅스

글쎄 ... 말하지 마

알다시피, 그것은 내가 생각했던 것과 정확히 일치합니다 : 그것은 하드 코드 된 암호로 데이터를 저장합니다. 왜 이런 경우입니까? 다른 두 시스템에 대한 방식으로 암호화 된 데이터를 처리 할 수있는 공통 인프라 가 없기 때문입니다 . 아니요, Linux에 암호화 시스템이나 보안이 없다고 말한 것은 아닙니다. 사용자 공간에서 사용할 수 있는 많은 키링 / 키 체인 및 암호 저장 솔루션이 있습니다 . 보이는 것처럼 Chrome 개발자는 그 중 하나를 사용하지 않기로 결정했습니다. "왜?" 내가 대답 할 수있는 질문이 아닙니다.

Firefox

항상 비밀번호와 함께 저장된 생성 된 키를 사용하십시오. 예외는 마스터 암호를 설정 한 경우,이는 것입니다 도 사용.