web-dev-qa-db-fra.com

Chrome Smart-Lock est-il faible?

Je suis très déconcerté par le Smart-Lock de Chrome. Il semble que toute application installée sur mon Windows puisse accéder à TOUS mes mots de passe en un clin d'œil.

J'ai installé True Key pour tester l'application. J'espérais que l'application était hors ligne, mais ce n'est pas le cas. Pour mémoire, j'ai essayé d '"importer toutes les connexions depuis Chrome". Je n'ai pas eu à passer par Windows UAC, et True Key vient de recevoir tous mes mots de passe.

Je suis très inquiet à propos de ce système et je ne comprends pas comment il est possible que les gens utilisent ce type de système.

Qu'est-ce que je comprends mal de la sécurité?

19
nowox

Chrome offre la possibilité de remplir automatiquement les mots de passe sans que vous, en tant qu'utilisateur, n'ayez à saisir un type d'authentification autre que d'être connecté à la machine. Cela signifie qu'il doit disposer de toutes les informations nécessaires pour accéder aux mots de passe stockés lors de l'exécution dans ce contexte.

Cela signifie que toutes les autres applications exécutées dans ce contexte (sous votre compte d'utilisateur) peuvent également accéder à ces informations.

La seule chose Chrome peut faire est d'utiliser la protection au niveau du système d'exploitation pour empêcher les autres utilisateurs de lire vos données. Sous Windows, il utilise la fonction CryptProtectData . Cela crypte les données avec votre informations d'identification de l'utilisateur Windows - y compris votre mot de passe. Si vous oubliez votre mot de passe, les données sont illisibles - même si un administrateur le réinitialise (bien qu'avec les mots de passe chrome, ils sont sauvegardés en ligne et seront récupérés la prochaine fois). vous y êtes connecté avec vos identifiants Google).

Qu'est-ce que je comprends mal de la sécurité?

Tout logiciel exécuté sur votre système sous votre propre utilisateur ou un administrateur doit être supposé avoir accès à tout ce que vous faites. S'il ne peut pas lire le mot de passe dans le magasin de mots de passe, il existe de nombreuses autres façons de l'obtenir. De la maladresse (démarrez Chrome, pointez-le sur chrome: // settings/passwords et lisez-les hors de l'interface utilisateur) pour extraire les mots de passe ou la clé Google API de la mémoire chromes pendant qu'il est en cours d'exécution ou injecter un faux certificat racine et homme au milieu une connexion au site Web où le mot de passe est envoyé.

20
Hector

Il y a certaines choses que vous devez considérer:

  • Un gestionnaire de mots de passe est un outil pratique, pas un outil de sécurité. Si vous voulez avoir un gestionnaire de mots de passe sécurisé, il devra tout garder crypté, ce qui ne peut pas être prouvé dans ce cas.
  • Utiliser n gestionnaire de mots de passe sera toujours plus peu sûr par rapport à ne pas en utiliser un sauf si vous --- manuellement contrôlez ses aspects de sécurité, ce qui ne se produit pas. Vous ne savez pas où les données sont stockées, dans quel format et quel est le processus impliqué pour y accéder.
  • Smart-Lock ne prouve à aucun moment sa sécurité.
  • Les détails de la cryptographie et de la mise en œuvre devraient au moins être documentés quelque part, mais ils ne le font pas, ce qui me fait fortement douter des déclarations officielles de Chrome comme "Vos mots de passe sont toujours cryptés". Ils ne disent pas `` où '' cela se produit réellement: lors du stockage, de la synchronisation, de l'utilisation du cache, des communications générales, etc.
  • Une conclusion de DEFCON 2016 déclare: "Les consommateurs ne sont pas en mesure d'évaluer les allégations de sécurité formulées par les entreprises. Nous avons besoin de plus de chercheurs enquêtant sur les allégations de sécurité formulées par les entreprises au nom des consommateurs. "
  • Tout est mis en cache à un moment donné. Votre navigateur utilisera beaucoup de trans-cache, toute application spécifique supérieure à la moyenne pourra lire à partir de cela.
2
Overmind