Je suis très déconcerté par le Smart-Lock de Chrome. Il semble que toute application installée sur mon Windows puisse accéder à TOUS mes mots de passe en un clin d'œil.
J'ai installé True Key pour tester l'application. J'espérais que l'application était hors ligne, mais ce n'est pas le cas. Pour mémoire, j'ai essayé d '"importer toutes les connexions depuis Chrome". Je n'ai pas eu à passer par Windows UAC, et True Key vient de recevoir tous mes mots de passe.
Je suis très inquiet à propos de ce système et je ne comprends pas comment il est possible que les gens utilisent ce type de système.
Qu'est-ce que je comprends mal de la sécurité?
Chrome offre la possibilité de remplir automatiquement les mots de passe sans que vous, en tant qu'utilisateur, n'ayez à saisir un type d'authentification autre que d'être connecté à la machine. Cela signifie qu'il doit disposer de toutes les informations nécessaires pour accéder aux mots de passe stockés lors de l'exécution dans ce contexte.
Cela signifie que toutes les autres applications exécutées dans ce contexte (sous votre compte d'utilisateur) peuvent également accéder à ces informations.
La seule chose Chrome peut faire est d'utiliser la protection au niveau du système d'exploitation pour empêcher les autres utilisateurs de lire vos données. Sous Windows, il utilise la fonction CryptProtectData . Cela crypte les données avec votre informations d'identification de l'utilisateur Windows - y compris votre mot de passe. Si vous oubliez votre mot de passe, les données sont illisibles - même si un administrateur le réinitialise (bien qu'avec les mots de passe chrome, ils sont sauvegardés en ligne et seront récupérés la prochaine fois). vous y êtes connecté avec vos identifiants Google).
Qu'est-ce que je comprends mal de la sécurité?
Tout logiciel exécuté sur votre système sous votre propre utilisateur ou un administrateur doit être supposé avoir accès à tout ce que vous faites. S'il ne peut pas lire le mot de passe dans le magasin de mots de passe, il existe de nombreuses autres façons de l'obtenir. De la maladresse (démarrez Chrome, pointez-le sur chrome: // settings/passwords et lisez-les hors de l'interface utilisateur) pour extraire les mots de passe ou la clé Google API de la mémoire chromes pendant qu'il est en cours d'exécution ou injecter un faux certificat racine et homme au milieu une connexion au site Web où le mot de passe est envoyé.
Il y a certaines choses que vous devez considérer: