Jak chronione są hasła zapisane w przeglądarce Firefox?

browser-pm

Hasła w Firefoxie są zapisane w pliku logins.json i są szyfrowane kluczem, który jest przechowywany w pliku key4.db. Klucz zapisany w pliku key4.db jest chroniony hasłem. Są jednak dwie możliwości:

Zapamietaj w Firefoxie hasła nie są domyślnie zabezpieczone!!! Ktoś ma lokalny dostęp jako Ty / do Twojego systemu lub profilu, ten często może Twoje hasła wyciągnąć. Więcej szczegółów znajdziesz tutaj.

Czy możliwy jest dostęp do haseł kiedy komputer jest wyłączony?

browser-pm hasła pm podstawy

Czy nasze hasła są bezpieczne, kiedy wyłączymy komputer? Wszystko zależy od wybranej metody przechowywania haseł! Jeśli metoda zabezpieczenia nie zakłada dodatkowego hasła bądź urządzenia, hasła są możliwe do odczytu!

Przyczyną jest brak dodatkowego sekretu, który byłby użyty do szyfrowania bazy danych haseł. W takim przypadku szyfrowanie wykonane jest z użyciem danych dostępnych na komputerze - a zatem danych dostępnych dla atakującego.

(poniższa tabela zakłada, że dysk komputera nie został zaszyfrowany)

Metoda przechowywania haseł Czy dostęp atakującego jest możliwy?
Fizyczny notatnik z zapisanymi haslami Jeśli nie nosimy go razem z laptopem to nie!
Plik z zapisanymi hasłami Hasła dostępne
Przeglądarka Firefox Możliwość dostępu jeśli nie zostało skonfigurowane hasło główne.
Przeglądarka Chrome Hasła dostępne
Bitwarden / Vaultwarden Brak dostępu
KeyPass XC Brak dostępu

Jeśli dysk na którym przechowywane są hasła jest zaszyfrowany, hasła w wyłączonym komputerze powinny być bezpieczne!

Więcej informacji na temat szyfrowania pojawi się w trakcie kolejnych modułów.

Czy możliwe jest wykorzystanie bazy haseł z innego urządzenia?

browser-pm pm przeglądarka synchronizacja

Jest wiele scenariuszy w których chcemy odszyfrować bazę haseł, ale z innego komputera - chcemy wykorzystać kopię zapasową starego dysku na nowym komputerze, przekazać w sposób bezpieczny hasła innej osobie członkowskiej w zespole (lub jako atakujący uzyskać dostęp do serwisu do jakiego nie powinniśmy).

Metoda przechowywania haseł Czy można użyć na innnym urządzeniu?
Fizyczny notatnik z zapisanymi haslami Musimy wykonać samemu kopię :)
Plik z zapisanymi hasłami Tak, ale dostęp ma każdy kto może przechwycić plik
Przeglądarka Firefox Tak, należy skopiować zarówno plik bazy, jak i plik kluczy (więcej informacji); również można eksportować plik CSV
Przeglądarka Chrome Dostępny eksport CSV lub dostęp do pliku bazy na uzytkownikach o tej samej nazwie.
Menadżer haseł Google Można wykorzystywać po zalogowaniu na to samo konto; możliwy eksport CSV
Bitwarden / Vaultwarden Możliwy eksport haseł oraz współdzielenie haseł
KeyPass XC Możliwy poprzez Eksport CSV

Czy administrator może odczytać moje hasła?

browser-pm pm podstawy

Administrator posiada dostęp do danych użytkowników, w tym ich dysków na których mogą być przechowywane hasła. Oznacza to, że dla systemów, które przechowują dane logowania i deszyfrowania w ramach komputera posiada dostęp do wszystkich przechowywanych haseł!

Metoda przechowywania haseł Czy administrator ma dostęp?
Fizyczny notatnik z zapisanymi haslami Nie, chyba, że damy mu do niego dostęp
Plik z zapisanymi hasłami Tak
Przeglądarka Firefox Tak jeśli użytkownik nie skonfigurował hasła głównego
Przeglądarka Chrome Tak
Menadżer haseł Google Tak jeśli jesteśmy zalogowani (domyślnie jesteśmy)
Bitwarden / Vaultwarden Tak jeśli jesteśmy zalogowani (domyślnie nie jesteśmy)
KeyPass XC Nie

Jak zobaczyć hasła w przeglądarkowym menadżerze haseł?

browser-pm podstawy

Każda przeglądarka oferująca wbudowany menadżer haseł oferuje możliwość zobaczenia zawartości bazy haseł.

Przeglądarka Adres z listą haseł
Chrome / Vivaldi / Brave chrome://password-manager/
Edge about:settings/passwords
Firefox / Zen about:logins
Safari https://support.apple.com/en-us/105115

Jakie są wady menedżerów haseł wbudowanych w przeglądarkę?

browser-pm

Menedżery haseł wbudowane w przeglądarki (np. Google Password Manager, iCloud Keychain w Safari, Microsoft Edge Password Manager, itp.) oferują wysoką wygodę użytkowania, jednak posiadają istotne ograniczenia.

Brak wsparcia dla aplikacji natywnych

Przeglądarkowe menedżery zasadniczo nie radzą sobie z automatycznym wypełnianiem haseł w innych aplikacjach zainstalowanych w systemie co wymusza ręczne kopiowanie danych.

Brak bezpiecznego udostępniania

Używając przeglądarkowego menedżera istotną trudnością jest bezpieczne dzielenie się hasłami z członkami rodziny lub zespołu.

Uproszczone generatory haseł

Generatory haseł w przeglądarkach często oferują mniejszą kontrolę nad długością i zestawem znaków niż dedykowane narzędzia.

Brak przechowywania innych danych

Większość przeglądarek nie pozwala na bezpieczne przechowywanie notatek szyfrowanych, kluczy SSH czy plików (załączników), co potrafią zewnętrzne menedżery.

Izolacja ekosystemowa (Vendor Lock-in)

Hasła przechowywane w przeglądarce są zasadniczo dostępne tylko w obrębie tej konkretnej aplikacji lub ekosystemu producenta.

Próba skorzystania z haseł zapisanych np. w Chrome na urządzeniu z inną przeglądarką np. Firefox na iOS jest utrudniona i często wymaga ręcznego eksportu/importu.

Podatność na lokalny dostęp

W wielu przypadkach dostęp do bazy haseł w przeglądarce jest chroniony jedynie przez mechanizm logowania do systemu operacyjnego. W przeciwieństwie do dedykowanych rozwiązań (np. Bitwarden), większość przeglądarek nie wymaga podania dodatkowego, niezależnego hasła głównego przy każdym wypełnianiu danych. Jeśli osoba nieuprawniona uzyska dostęp do odblokowanego komputera, może wyeksportować hasła w formacie tekstowym lub podejrzeć je w ustawieniach przeglądarki, gdyż baza haseł pozostaje cały czas “otwarta”.

W przeciwieństwie do dedykowanych rozwiązań (np. Bitwarden), większość przeglądarek nie wymaga podania dodatkowego, niezależnego hasła głównego przy każdym wypełnianiu danych.

Przypadkowa utrata bazy haseł w przeglądarce

Ryzyko niezamierzonego usunięcia bazy haseł przechowywanych lokalnie w przeglądarce jest oceniane jako średnie, jednak skutki takiej operacji są krytyczne. Mechanizmy czyszczenia danych przeglądania są zaprojektowane w sposób ułatwiający konserwację systemu, co sprzyja błędom ludzkim.

Istnieją trzy główne ścieżki prowadzące do utraty danych uwierzytelniających:

  1. Rutynowe czyszczenie historii (Najczęstszy scenariusz)

Podczas czyszczenia pamięci podręcznej (cache) lub historii przeglądania (np. za pomocą skrótu Ctrl + Shift + Del) użytkownicy często zaznaczają wszystkie dostępne pola wyboru.

Pole „Hasła i inne dane logowania” znajduje się zazwyczaj na tej samej liście co „Obrazy i pliki zapisane w pamięci podręcznej”. Chwila nieuwagi przy zatwierdzaniu zakresu czasowego („Od początku”) prowadzi do bezpowrotnego usunięcia bazy.

  1. Resetowanie lub przeinstalowanie przeglądarki

Funkcje typu „Odśwież program Firefox” lub „Przywróć ustawienia domyślne” w Chrome mają na celu rozwiązanie problemów z wydajnością.

Operacje te usuwają rozszerzenia i preferencje, a w niektórych konfiguracjach (szczególnie bez aktywnej synchronizacji chmurowej) mogą spowodować usunięcie lokalnego pliku bazy danych haseł (Login Data w systemach Chromium).

  1. Wylogowanie i usunięcie profilu użytkownika

W nowoczesnych przeglądarkach dane są przypisane do profilu użytkownika.

Usunięcie profilu lokalnego z poziomu ustawień przeglądarki powoduje natychmiastowe skasowanie powiązanych z nim plików haseł z dysku twardego.

Wszystkie pytania