Jak chronione są hasła zapisane w przeglądarce Firefox?
browser-pm
Hasła w Firefoxie są zapisane w pliku logins.json i są szyfrowane kluczem, który jest przechowywany w pliku key4.db. Klucz zapisany w pliku key4.db jest chroniony hasłem. Są jednak dwie możliwości:
Gdy ustawisz hasło główne (primary password), Firefox wyprowadza z niego klucz odblokowujący (algorytmem derywacji klucza), którym odszyfrowuje właściwy klucz szyfrujący hasła.
Jeśli nie ustawisz hasła głównego, Firefox używa w praktyce pustego/domyślnego hasła do tego wyprowadzania klucza odblokowującego, więc każdy kto ma lokalny dostęp do plików może hasła odszyfrować.
Zapamietaj w Firefoxie hasła nie są domyślnie zabezpieczone!!! Ktoś ma lokalny dostęp jako Ty / do Twojego systemu lub profilu, ten często może Twoje hasła wyciągnąć. Więcej szczegółów znajdziesz tutaj.
Czy możliwy jest dostęp do haseł kiedy komputer jest wyłączony?
browser-pm hasła pm podstawy
Czy nasze hasła są bezpieczne, kiedy wyłączymy komputer? Wszystko zależy od wybranej metody przechowywania haseł! Jeśli metoda zabezpieczenia nie zakłada dodatkowego hasła bądź urządzenia, hasła są możliwe do odczytu!
Przyczyną jest brak dodatkowego sekretu, który byłby użyty do szyfrowania bazy danych haseł. W takim przypadku szyfrowanie wykonane jest z użyciem danych dostępnych na komputerze - a zatem danych dostępnych dla atakującego.
(poniższa tabela zakłada, że dysk komputera nie został zaszyfrowany)
| Metoda przechowywania haseł | Czy dostęp atakującego jest możliwy? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Jeśli nie nosimy go razem z laptopem to nie! |
| Plik z zapisanymi hasłami | Hasła dostępne |
| Przeglądarka Firefox | Możliwość dostępu jeśli nie zostało skonfigurowane hasło główne. |
| Przeglądarka Chrome | Hasła dostępne |
| Bitwarden / Vaultwarden | Brak dostępu |
| KeyPass XC | Brak dostępu |
Jeśli dysk na którym przechowywane są hasła jest zaszyfrowany, hasła w wyłączonym komputerze powinny być bezpieczne!
Więcej informacji na temat szyfrowania pojawi się w trakcie kolejnych modułów.
Czy możliwe jest wykorzystanie bazy haseł z innego urządzenia?
browser-pm pm przeglądarka synchronizacja
Jest wiele scenariuszy w których chcemy odszyfrować bazę haseł, ale z innego komputera - chcemy wykorzystać kopię zapasową starego dysku na nowym komputerze, przekazać w sposób bezpieczny hasła innej osobie członkowskiej w zespole (lub jako atakujący uzyskać dostęp do serwisu do jakiego nie powinniśmy).
| Metoda przechowywania haseł | Czy można użyć na innnym urządzeniu? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Musimy wykonać samemu kopię :) |
| Plik z zapisanymi hasłami | Tak, ale dostęp ma każdy kto może przechwycić plik |
| Przeglądarka Firefox | Tak, należy skopiować zarówno plik bazy, jak i plik kluczy (więcej informacji); również można eksportować plik CSV |
| Przeglądarka Chrome | Dostępny eksport CSV lub dostęp do pliku bazy na uzytkownikach o tej samej nazwie. |
| Menadżer haseł Google | Można wykorzystywać po zalogowaniu na to samo konto; możliwy eksport CSV |
| Bitwarden / Vaultwarden | Możliwy eksport haseł oraz współdzielenie haseł |
| KeyPass XC | Możliwy poprzez Eksport CSV |
Czy administrator może odczytać moje hasła?
browser-pm pm podstawy
Administrator posiada dostęp do danych użytkowników, w tym ich dysków na których mogą być przechowywane hasła. Oznacza to, że dla systemów, które przechowują dane logowania i deszyfrowania w ramach komputera posiada dostęp do wszystkich przechowywanych haseł!
| Metoda przechowywania haseł | Czy administrator ma dostęp? |
|---|---|
| Fizyczny notatnik z zapisanymi haslami | Nie, chyba, że damy mu do niego dostęp |
| Plik z zapisanymi hasłami | Tak |
| Przeglądarka Firefox | Tak jeśli użytkownik nie skonfigurował hasła głównego |
| Przeglądarka Chrome | Tak |
| Menadżer haseł Google | Tak jeśli jesteśmy zalogowani (domyślnie jesteśmy) |
| Bitwarden / Vaultwarden | Tak jeśli jesteśmy zalogowani (domyślnie nie jesteśmy) |
| KeyPass XC | Nie |
Jak zobaczyć hasła w przeglądarkowym menadżerze haseł?
browser-pm podstawy
Każda przeglądarka oferująca wbudowany menadżer haseł oferuje możliwość zobaczenia zawartości bazy haseł.
| Przeglądarka | Adres z listą haseł |
|---|---|
| Chrome / Vivaldi / Brave | chrome://password-manager/ |
| Edge | about:settings/passwords |
| Firefox / Zen | about:logins |
| Safari | https://support.apple.com/en-us/105115 |
Jakie są wady menedżerów haseł wbudowanych w przeglądarkę?
browser-pm
Menedżery haseł wbudowane w przeglądarki (np. Google Password Manager, iCloud Keychain w Safari, Microsoft Edge Password Manager, itp.) oferują wysoką wygodę użytkowania, jednak posiadają istotne ograniczenia.
Brak wsparcia dla aplikacji natywnych
Przeglądarkowe menedżery zasadniczo nie radzą sobie z automatycznym wypełnianiem haseł w innych aplikacjach zainstalowanych w systemie co wymusza ręczne kopiowanie danych.
Brak bezpiecznego udostępniania
Używając przeglądarkowego menedżera istotną trudnością jest bezpieczne dzielenie się hasłami z członkami rodziny lub zespołu.
Uproszczone generatory haseł
Generatory haseł w przeglądarkach często oferują mniejszą kontrolę nad długością i zestawem znaków niż dedykowane narzędzia.
Brak przechowywania innych danych
Większość przeglądarek nie pozwala na bezpieczne przechowywanie notatek szyfrowanych, kluczy SSH czy plików (załączników), co potrafią zewnętrzne menedżery.
Izolacja ekosystemowa (Vendor Lock-in)
Hasła przechowywane w przeglądarce są zasadniczo dostępne tylko w obrębie tej konkretnej aplikacji lub ekosystemu producenta.
Próba skorzystania z haseł zapisanych np. w Chrome na urządzeniu z inną przeglądarką np. Firefox na iOS jest utrudniona i często wymaga ręcznego eksportu/importu.
Podatność na lokalny dostęp
W wielu przypadkach dostęp do bazy haseł w przeglądarce jest chroniony jedynie przez mechanizm logowania do systemu operacyjnego. W przeciwieństwie do dedykowanych rozwiązań (np. Bitwarden), większość przeglądarek nie wymaga podania dodatkowego, niezależnego hasła głównego przy każdym wypełnianiu danych. Jeśli osoba nieuprawniona uzyska dostęp do odblokowanego komputera, może wyeksportować hasła w formacie tekstowym lub podejrzeć je w ustawieniach przeglądarki, gdyż baza haseł pozostaje cały czas “otwarta”.
W przeciwieństwie do dedykowanych rozwiązań (np. Bitwarden), większość przeglądarek nie wymaga podania dodatkowego, niezależnego hasła głównego przy każdym wypełnianiu danych.
Przypadkowa utrata bazy haseł w przeglądarce
Ryzyko niezamierzonego usunięcia bazy haseł przechowywanych lokalnie w przeglądarce jest oceniane jako średnie, jednak skutki takiej operacji są krytyczne. Mechanizmy czyszczenia danych przeglądania są zaprojektowane w sposób ułatwiający konserwację systemu, co sprzyja błędom ludzkim.
Istnieją trzy główne ścieżki prowadzące do utraty danych uwierzytelniających:
- Rutynowe czyszczenie historii (Najczęstszy scenariusz)
Podczas czyszczenia pamięci podręcznej (cache) lub historii przeglądania (np. za pomocą skrótu Ctrl + Shift + Del) użytkownicy często zaznaczają wszystkie dostępne pola wyboru.
Pole „Hasła i inne dane logowania” znajduje się zazwyczaj na tej samej liście co „Obrazy i pliki zapisane w pamięci podręcznej”. Chwila nieuwagi przy zatwierdzaniu zakresu czasowego („Od początku”) prowadzi do bezpowrotnego usunięcia bazy.
- Resetowanie lub przeinstalowanie przeglądarki
Funkcje typu „Odśwież program Firefox” lub „Przywróć ustawienia domyślne” w Chrome mają na celu rozwiązanie problemów z wydajnością.
Operacje te usuwają rozszerzenia i preferencje, a w niektórych konfiguracjach (szczególnie bez aktywnej synchronizacji chmurowej) mogą spowodować usunięcie lokalnego pliku bazy danych haseł (Login Data w systemach Chromium).
- Wylogowanie i usunięcie profilu użytkownika
W nowoczesnych przeglądarkach dane są przypisane do profilu użytkownika.
Usunięcie profilu lokalnego z poziomu ustawień przeglądarki powoduje natychmiastowe skasowanie powiązanych z nim plików haseł z dysku twardego.