I en fersk utgave av Chromium for Mac må brukerne taste inn sitt OS X-passord for å kunne lese Chrome-passordene i klartekst. (Bilde: François Beaufort)

Chrome kan få passordbeskyttelse

Har Google skiftet syn?

I desktop-utgavene av Google Chrome kan man skrive «chrome://settings/passwords» i adressefeltet og deretter få opp en liste over brukernavnene og passordene som brukeren av nettleseren benytter på ulike nettsteder. Dette er gjort med hensikt fra Googles side, som i utgangspunktet mener at det er brukerkontoen i operativsystemet som skal sørge for sikkerheten, ikke nettleseren i seg selv. I august skrev sikkerhetssjefen for Google Chrome, Justin Schuh, at de andre løsningene man har sett, ikke er pålitelige og stort sett bare er spill for galleriet.

Likevel er det slik at stort sett alle andre nettlesere tilbyr en eller annen form for passordbeskyttelse av passordene, men ikke nødvendigvis aktivert som standard.

Svak kryptering

Chrome lagrer passordene kryptert i en SQLite-database, men det er likevel fullt mulig å hente fram passordene igjen også med andre verktøy enn Chrome selv, i alle fall i Windows. Men tilsvarende verktøy finnes også til nettlesere som Internet Explorer og Firefox. Men man får mange advarsler fra både nettlesere, Windows og antivirusverktøy dersom man laster ned noen av disse verktøyene. Så det gjøres definitivt på egen risiko.

Dette viser likevel at Schuh egentlig har rett. Sikkerheten til disse passordregistrene avhenger kun av hvorvidt uvedkommende får tilgang til brukerkontoen og vedkommendes kjennskap til hvilke passordverktøy som finnes, noe som egentlig bare krever et raskt søk i en større søketjeneste.

Snur?

Men nå kan det likevel se ut til at Google har begynt å revurdere sitt syn på hvordan passordene hentes fram i Chrome.

François Beaufort, som oppgir at han er Happiness Evangelist i Google i Frankrike, skriver i et Google+-innlegg om ny, eksperimentell funksjonalitet som er i ferd med å komme i Chromium for Mac. Chromium er åpen kildekode-utgaven av Chrome.

Eksperimentell funksjonalitet i Chrome og Chromium er deaktivert som standard, men kan aktiveres ved hjelp av en bryter, «chrome://flags/#enable-password-manager-reauthentication».

Dersom noen da forsøker å se et passord i klartekst i Chromium for Mac, må de først taste inn OS X-brukerens passord. Lykkes dette, kan man i de påfølgende minuttet se så mange passord som man ønsker, før man på nytt må taste inn passordet.

Det er ikke oppgitt om denne funksjonaliteten vil tas i bruk av Chromium og Chrome for andre plattformer. Men ingenting tyder på at passordbeskyttelsen vil gjøre det vanskeligere å dekryptere passordene som Chrome lager i login-databasen.

    Les også:

Til toppen