Misalnya, Opera memiliki fitur "tongkat" yang mengingat nama pengguna dan kata sandi yang Anda ketikkan di berbagai situs.
Katakanlah Anda mendapatkan trojan, yang mencuri data dari PC Anda. Bisakah trojan mendekripsi kata sandi yang disimpan oleh browser, dan menggunakannya?
Poin-poin yang dicatat dalam jawaban Bob semuanya valid, jadi saya tidak akan repot-repot mengulanginya; namun, saya pikir sedikit informasi tambahan mungkin juga bermanfaat bagi sebagian orang, karena pertanyaan Anda adalah masalah yang valid.
Fitur Wand Opera memungkinkan Anda menentukan seberapa sering meminta kata sandi utama Anda Preferences > Advanced > Security > Ask for passworddengan pilihan seperti "Sekali per sesi" (yang, seperti yang ditunjukkan oleh Bob, membatasi keamanan Anda), "Setiap x menit / jam" (jika Anda tidak Tidak masalah mengutak-atik .inifile, Anda dapat menyesuaikan frekuensi Anda sendiri), dan "Setiap kali diperlukan" (jelas opsi yang paling aman karena kata sandi Anda tidak akan disimpan dalam memori selama sesi penelusuran Anda). Saya tidak menggunakan Firefox tetapi dapat membayangkan bahwa ada ekstensi serupa yang tersedia di suatu tempat.
Data tongkat disimpan dalam file yang disebut, tunggu, wand.datdalam format yang dapat diuraikan dengan sedikit usaha jika tidak ada kata sandi utama yang digunakan; jika Anda melakukan menggunakan password master, itu dienkripsi menggunakan komponen acak dan password master Anda dengan algoritma yang saat ini lolos saya (harus mudah untuk mencari meskipun).
Jika Anda menggunakan kata sandi untuk situs yang keamanannya lebih penting bagi Anda daripada rata-rata login, Anda bisa memilih untuk tidak menyimpan kata sandi .
Tab pribadi di Opera (atau yang setara di browser lain) memungkinkan Anda untuk menyimpan data sesi tab secara terpisah dari pada tab "normal", yang dapat menambah lapisan keamanan lain.
Model keamanan yang digunakan di Chrome dan turunannya (yaitu, men-sandbox setiap tab di utas terpisah) memberi Anda keamanan yang lebih besar.
Anda dapat menjaga terhadap keyloggers dan semacamnya dengan secara teratur:
Untuk menyimpulkan:
Tingkat keamanan browser Anda dan tingkat login Anda tergantung pada Anda .
Jika seseorang sangat terampil dan banyak akal, mereka mungkin bisa mendapatkan data Anda pada akhirnya meskipun semua tindakan pencegahan di atas, tetapi itu akan membuat data browser Anda jauh lebih aman dan akan meningkatkan tingkat kecanggihan yang diperlukan untuk memecahkannya secara signifikan.
Jika Anda memiliki malware di komputer Anda, tidak ada kata sandi yang dimasukkan atau disimpan di dalamnya dapat dianggap benar-benar aman. Bahkan kata sandi terenkripsi seperti database KeyPass, segera setelah Anda memasukkan rincian yang diperlukan untuk mendekripsi, penyerang dapat mengambil kata sandi Anda.
Peramban biasanya tidak terlalu memperhatikan keamanan kata sandi yang disimpan, setidaknya tidak dengan pengaturan default.
Katakanlah Anda mendapatkan trojan, yang mencuri data dari PC Anda. Bisakah trojan mendekripsi kata sandi yang disimpan oleh browser, dan menggunakannya?
Dalam satu kata: ya. Browser biasanya tidak mengenkripsi kata sandi yang diingat, sehingga mereka dapat dibaca dengan upaya sepele. Enkripsi dengan kunci yang disimpan tidak berguna: jika browser dapat mendekripsi, program lain yang berjalan di komputer yang sama dapat melakukan hal yang sama.
Saya paling akrab dengan Firefox, jadi saya akan pergi dengan itu.
Firefox memungkinkan Anda untuk menetapkan 'kata sandi utama'. Jika ya, itu mengenkripsi kata sandi yang disimpan dengan kata sandi utama. Namun, demi kenyamanan, Anda hanya perlu masuk menggunakan kata sandi utama ini sekali per sesi. Setelah Anda masuk, informasi yang diperlukan untuk mendekripsi kata sandi yang disimpan disimpan dalam memori, dan dapat diakses. Pendekatan yang lebih aman dan tidak praktis adalah meminta kata sandi utama diketik setiap kali Firefox perlu mencari kata sandi yang disimpan.
Bahkan jika kata sandi yang disimpan dienkripsi dengan sempurna dan benar-benar tidak dapat diakses, kata sandi tersebut harus didekripsi dan dimasukkan pada formulir web di beberapa titik. Yang berarti memegang kata sandi, tidak dienkripsi, di memori. Sebenarnya ada beberapa program ' asterisk revealer ' yang dirancang untuk mengambil kata sandi tersebut dari memori dan, yah, ungkapkan. Malware secara teoritis dapat melakukan hal yang sama.
Dan malware juga bisa keylog Anda, memungkinkan penyerang untuk mengambil kata sandi apa pun yang Anda ketikkan.
Ada studi yang sangat mendalam tentang keamanan kata sandi di berbagai browser utama (IE, Chrome, FF) di sini . Sebagai rangkuman, baik Chrome dan IE10 mengandalkan rutinitas enkripsi Windows, yang dianggap kuat. Namun, mereka tidak melindungi terhadap program lain yang berjalan di bawah pengguna yang sama , yaitu mereka tidak berguna terhadap malware. Sekali lagi, setiap program pelaksana (sebagai Administrator) dapat mengambil informasi dari memori atau dengan tetap memilih.
Metode enkripsi paling penting ketika Anda mempertimbangkan kemungkinan pencurian data yang disimpan untuk analisis nanti, misalnya seseorang menyelinap masuk dan menyalin atau mencuri komputer Anda. Secara umum, semua browser modern melakukan pekerjaan yang layak untuk melindungi terhadap bentuk serangan itu. Firefox dengan kata sandi yang baik dan kuat lebih disukai, karena data terenkripsi Windows dapat dipulihkan dengan masuk ke akun pengguna Windows, dan kata sandi Windows tidak sepenuhnya aman lagi. Perhatikan bahwa tidak ada yang akan menghentikan penyerang yang sangat gigih.
NirSoft menyediakan alat yang disebut "IEPassView" yang dapat mendekripsi Internet Explorer 8 dan dengan kata sandi. Informasi Sistem untuk Windows dapat melakukan hal yang sama; cukup klik pada tombol di bagian atas.
NirSoft menyediakan alat "pemulihan kata sandi" untuk banyak browser populer ( http://www.nirsoft.net/password_recovery_tools.html ) - ini merupakan "bukti konsep" yang baik untuk menunjukkan bahwa penyimpanan kata sandi bawaan tidak aman .
sumber
Lastpass dan perangkat lunak seperti itu adalah jawaban nyaman yang bagus. Meskipun mereka tidak memberikan Anda keamanan total (Anda masih perlu melakukan hal-hal dasar seperti firewall, anti virus, dll.) Itu adalah cara yang baik untuk mengelola kata sandi Anda. Juga karena fakta bahwa itu disimpan di cloud ajaib Anda dapat mengaksesnya dari mana saja (tidak seperti beberapa perangkat lunak lokal di mana Anda harus menyimpan di dalam mesin Anda untuk mengaksesnya).
sumber