Sebuah pertanyaan umum tentang Google Chrome Browser adalah "mengapa tidak ada kata sandi master?" Google telah (secara tidak resmi) mengambil posisi bahwa kata sandi utama memberikan rasa aman yang salah dan bentuk perlindungan yang paling layak untuk data sensitif ini adalah melalui keamanan sistem secara keseluruhan.
Jadi seberapa amankah data kata sandi yang Anda simpan di dalam Google Chrome?
Chrome, termasuk pengelola kata sandi sendiri yang dapat diakses melalui Opsi> Barang Pribadi> Kelola kata sandi yang disimpan. Ini bukan hal baru dan jika Anda mengizinkan Chrome untuk menyimpan kata sandi Anda, Anda mungkin sudah mengetahui fitur ini.
Sentuhan keamanan minor yang bagus adalah Anda harus terlebih dahulu mengklik tombol show di samping setiap kata sandi yang ingin Anda lihat.
Meskipun tidak ada batasan untuk mengakses layar ini (yaitu jika Anda memiliki akses ke desktop tempat Chrome dipasang, Anda bisa mendapatkan kata sandi), setidaknya ada intervensi pengguna yang diperlukan untuk melihat setiap kata sandi tanpa cara untuk mengekspornya dalam jumlah besar ke file teks biasa.
Data kata sandi disimpan disimpan dalam database SQLite yang terletak di sini:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Data Pengguna \ Default \ Data Login
Anda dapat membuka file ini (nama file hanya "Login Data") menggunakan SQLite Database Browser dan melihat "login" tabel yang berisi kata sandi yang disimpan. Anda akan melihat bidang "password_value" tidak bisa dibaca karena nilainya dienkripsi.
Untuk melakukan enkripsi (pada Windows), Chrome menggunakan fungsi API Windows yang disediakan yang membuat data terenkripsi hanya dapat dipecahkan oleh akun pengguna Windows yang digunakan untuk mengenkripsi kata sandi. Jadi intinya, kata sandi utama Anda adalah kata sandi akun Windows Anda. Akibatnya, setelah Anda masuk ke Windows menggunakan akun Anda, data ini dapat dipecahkan oleh Chrome.
Namun, karena kata sandi akun Windows Anda adalah konstanta, akses ke "kata sandi utama" tidak eksklusif untuk Chrome karena utilitas eksternal dapat mencapai data ini - dan mendekripsikannya - juga. Menggunakan utilitas ChromePass utilitas gratis yang tersedia oleh NirSoft, Anda dapat melihat semua data kata sandi yang tersimpan dan dengan mudah mengekspornya ke file teks biasa.
Jadi masuk akal jika utilitas ChromePass dapat mengakses data ini, malware berjalan karena pengguna yang bersangkutan dapat mengaksesnya juga. Ketika ChromePass.exe diunggah ke VirusTotal, lebih dari separuh mesin anti-virus menandainya sebagai berbahaya. Sementara dalam hal ini utilitasnya aman, agak menenteramkan untuk melihat bahwa perilaku ini paling tidak ditandai oleh banyak paket AV (meskipun Microsoft Security Essentials bukan salah satu dari mesin AV yang melaporkannya sebagai berbahaya).
Misalkan komputer Anda dicuri dan pencuri me-reset kata sandi Windows Anda untuk login ke instalasi Anda. Jika mereka kemudian mencoba untuk melihat kata sandi di Chrome atau menggunakan utilitas ChromePass, data kata sandi tidak akan tersedia. Alasannya sederhana seperti "kata sandi utama" (yang merupakan kata sandi akun Windows Anda sebelum mereka mengatur ulang dengan paksa di luar Windows) tidak cocok sehingga dekripsi gagal.
Selain itu, jika seseorang hanya menyalin file database SQLite kata sandi Chrome dan mencoba untuk mengaksesnya di komputer lain, ChromePass akan menampilkan kata sandi kosong untuk alasan yang sama yang dijelaskan di atas.
Pada akhirnya, keamanan kata sandi yang disimpan Chrome sepenuhnya bergantung pada pengguna:
Intinya adalah menjaga sistem Anda tetap aman dan kata sandi Chrome Anda harus cukup aman juga.
Unduh ChromePass dari NirSoft
Unduh Browser SQLite dari Sourceforge
