Все в мире, к сожалению даже сисадмины, используют функцию сохранения паролей в браузерах. Проблемы в этом вопросе я всегда в принципе выделяю две:
- если пароль всегда вводится автоматом, его очень легко забыть и к сожалению не все пароли можно безболезненно восстановить;
- об этой проблеме сейчас и буду писать: пароли, даже если они закрыты звездочками (точечками) очень легко выуживаются
Так как я поклонник браузера Mozilla Firefox, то не могу не написать статью о том, как уберечь свои пароли в этом браузере от кражи. Сценарий нашей кражи крайне прост: злоумышленнику достаточно получить доступ к вашему профилю (например, сделать бекап через mozbackup) или просто прямой доступ к ПК на некоторое время.
Причем у него даже есть выбор, как это сделать!!!
Способ без хакерских приемчиков
Зайти в Инструменты—>Настройки. Перейти во вкладку Защита. Там наш хакер увидит такую картинку
Тыкаем на кнопку сохраненные пароли и вуаля. Попадаем в окошго, где злоумышленника от наших паролей отделяет только одна кнопка:
Сейчас она называется «Скрыть пароли», но до этого называлась «Показать пароли». Все, после этой кнопки все пароли будут видны как на ладони. Свои пассы я естественно затер, но у вас они будут видны ;)
Способ второй. «Хакерский»
Тут конечно уже без приемчиков не обойдешься, но зато не нужно ковыряться в безднах браузерных окон. Если злоумышенник увидит такую картинку, считайте, что пароль у него уже в кармане.
Разберем картинку. Под системным сообщением присутствует обычная функция авторизации в почте mail.ru (поклонники gmail, как и любой другой почты и не только почты не спешите расслабляться, эта функция сработает ВЕ-З-ДЕ). Если злоумышленник увидит ваш пароль как звездочки, значит считайте он уже у него.
Делается это с помощью все того же javascript’а (господи, как же я их ненавижу!). Вот код:
javascript:(function(){var%20s,F,j,f,i;%20s%20=%20"";%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)%20{%20if%20(f[i].type.toLowerCase()%20==%20"password")%20s%20+=%20f[i].value%20+%20"\n";%20}%20}%20if%20(s)%20alert("Passwords%20in%20forms%20on%20this%20page:\n\n"%20+%20s);%20else%20alert("There%20are%20no%20passwords%20in%20forms%20on%20this%20page.");})();
Этот код достаточно разместить в Firefox на панели закладок, вписав его в поле Адрес. Дайте ему любое имя, например ViewPass. Заходите на страницу авторизации. Видите пароль в точках? Тогда тыкаем в ViewPass и вуаля! Добрый браузер сообщает нам пароль (видно на картинке с mail.ru) :(
Таким образом можно получать доступ: к любым он-лайн сервисам, работающим через браузер, где есть форма авторизации.
Теперь же поговорим о том, как этому противостоять?
Защита паролей в Firefox
1. Это, правда, у браузеру прямого отношения не имеет, но привычка крайне полезная. Блокируйте свой сеанс при отлучении от ПК на любое время. В ОС семейства Windows это делается с помощью сочетания клавиш Win+L (клавиша Win это та, что с логотипом. Находится между кнопками Ctrl и Alt). Естественно, это имеет смысл делать, если на вашу учетную запись установлен пароль! Если у вас нет пароля, обязательно его установите.
2. Используйте мастер пароль. Его можно создать в той же вкладке, что и просмотр паролей. Инструменты—>Настройки. Перейти во вкладку Защита.
Теперь при попытке обращения к любым сохраненным паролям, будет запрошен мастер-пароль. Он будет действовать до перезапуска Firefox. Потом его нужно ввести снова.
Как видите из иллюстрации, поля имя пользователя и пароль не заполняются пока не будет введен мастер-пароль. Также обратите внимание, что это окно нельзя обойти. Т.е. наша кнопка ViewPass не только бесполезна, но и неактивна! Единственный способ либо ввести пароль, либо нажать кнопку Отмена. Тогда вы просто попадете на страницу сайта без каких введенных данных.
Также мастер-пароль будет запрошен, если вы или злоумышленник попытаются узнать пароли через сохраненные пароли.
3. Если стандартным Firefox-средствам хранения паролей вы не доверяете, используйте дополнения с хорошим рейтингом в системе Дополнений к Firefox. Тут к сожалению ручатся за конкретные дополнения не могу. Я использовал одно время RoboForm Password Manager и он мне показался не плох, но почита сейчас отзывы, его обхалили. Поэтому ничего проверенного посоветовать не могу.
Некоторые (если что-то кому-то скажет, то ведущие Радио-Т точно используют) OnePassword. Но он просит денег.
Я использую LastPass — бесплатно и под все браузеры.
Вопросом его непробиваемости не задавался, но выглядит неплохо (не показывайте этот пост Безмалому:) )
Владимир предложил написать каст по взлому любого пароля, сохраненного в браузере. Я безусловно «за» такой каст.
Запишет — посмотрим и попробуем применить к себе :)
Мне не помешает, у меня как раз один клиент начисто забыл свой пасс, а он в сохраненных паролях обозначен… звездочками. Такое оказывается бывает при миграции из старых версий лисички в новые. Т.е. сам браузер пароль знает, но показать его пользователю не собирается ни под каким предлогом. Осталась только надежда на Владимира Безмалого ;)