Безопасно ли сохранение паролей в браузере?

Во всех браузерах существует брешь, которой люди почему-то с удовольствием пользуются. Да, это удобно, но это ставит вашу безопасность под очень большой удар. Безопасно ли сохранение паролей в браузере? Нет, нет и ещё раз нет!

Сохранение паролей в браузерах реализовано наиболее опасным образом. Для того, чтобы браузер осуществлял медвежью услугу по вводу паролей за вас, он должен запоминать эти пароли в чистом виде. Конечно, какое-то шифрование для записи в базу паролей применяется - но, в любом случае, оно является обратимым. Т.е., из зашифрованной информации всегда есть способ получить пароль в чистом виде.

Адекватный сервис в интернете, где вы регистрируете учётную запись, может не сохранять ваш пароль вообще. Вместо пароля, сохраняется его хэш (hash) - некая строчка, которую посредством некой формулы можно получить из первоначального пароля. Смысл в том, что хэш - функция необратимая: обратно из него получить пароль нельзя. Зато можно сравнить хэш введённой вами строки и хэш изначального пароля, чтобы понять - правильно вы его вводите, или нет. Простейший принцип, исключающий утечку реального пароля в принципе - он попросту не хранится на сервисе. Конечно, тут возможны варианты, но нормальная реализация должна быть именно такой. Теоретически, и хэш можно "подобрать", перебирая пароли, но это потребует куда больших усилий, чем просто скопировать готовую базу с паролями.

Браузер может сохранять пароль в виде хэша, но ему некуда будет совать этот хэш: сервис ведь попросит пароль, а не хэш. Соответственно, браузер должен знать чистый пароль. Мало того: он ещё и синхронизирует пароли куда-то на свои серверы...

В общем, это - всем дыркам дырка. Как сохранять пароли, я уже писал.

Профессиональная компьютерная помощь в Красноярске

от автора статьи ;)

©2019, Анатолий Савенков
опубликовано: 26.12.2019

комментариев: 9

список статей в категории

Комментарии

1  cyberpunk свой человек	26.12.2019 13:40
LastPass для FF? Что умного про него можно сказать??
+0

2  SaAnVi tzar	26.12.2019 17:48
Дык, то же самое. Все они где-то хранят пароли так, чтобы их можно было при желании расшифровать.
+0

3  cyberpunk свой человек	26.12.2019 18:03
Вообще-то он где то в каком-то облаке хранит.. Проверено.. Ставлю на другом компе FF сразу етот LP добавляю ..и.. Все мои закладки с паролями тут как тут..
+0

4  SaAnVi tzar	26.12.2019 18:06
Сам принцип ничем от обычного сохранения паролей в FF не отличается. :) Просто у FF своё облако, а тут - своё.
+0

5  tor свой человек	15.01.2020 11:44
Паранойя это все. Точнее не так. Голову имея можно пароли и в браузере хранить - ничего страшного, проверено. А без головы можно свой пароль вбить, к примеру, на yandex1111.com
+0

6  SaAnVi tzar	15.01.2020 11:49
Просто из браузерных сервисов сливов ещё не было на моей памяти. Но думаю, это до первого столба. :)
+0

7  SaAnVi tzar	01.08.2022 17:51
А вот и слив из браузера. [ссылка, habr.com]
+0

8  Садисто свой человек	02.08.2022 09:05
Я правильно понял, что чем проще сайт, тем зловреду труднее?
+0

9  SaAnVi tzar	02.08.2022 12:31
В принципе, без разницы, главное, чтобы на сайте XSS-уязвимостей не было.
+0

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.