أمن نظم المعلومات

08/09/2013 16:21:38

كيف تمنع سرقة كلمات مرورك من متصفحات الويب

هل قمت باختيار خيار تخزين كلمة المرور أثناء تسجيل الدخول في متصفح الويب كالإنترنت إكسبلولر والفايرفوكس والكروم إذا فأي شخص يمتلك القدرة للوصول إلى جهازك سيمتلك الوصول لكلمات السر الخاصة بك.

يعتقد كل من مطوري الكروم والفايرفوكس بأن هذا أمر جيد ولا بأس به فيجب عليك من الأساس أن تمنع كل وصول غير شرعي لجهازك من الأصل. ردة الفعل هذه قد تفاجىء العديد من المستخدمين النهائيين فماهي الحلول لمنع سرقة كلمات مرورك؟

أين يتم تخزين كلمات المرور الخاصة بالمتصفح :

بالنسبة لمتصفح الكروم فإن كلمات المرور تخزن في قاعدة بيانات من نوع SQLite وهي موجودة في هذا الملف الذي يملك المسار التالي (قم بنسخ هذا المسار ولصقه في Run) :

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

بالنسبة لمتصفح الفايرفوكس

%APPDATA%\Mozilla\Firefox\Profiles

بحيث تكون كلمات المرور مخزنة في الملفين key3.db  و signons.sqlite .

بالنسبة لمتصفح الإنترنت إكسبلولر فكلمات المرور يتم تخزينها في سجل النظام الريجستري وفق المسار التالي :

KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

يمكنك فتح ملفات كلمات المرور المخزنة وفق SQLite بواسطة المفكرة ولكن يمكن ببساطة استخدام برنامج مستعرض قواعد البيانات SQLite Database Browser ومشاهدة محتويات هذا الملف للأسف لن تجد قيم كلمات المرور لأن كلمات المرور يتم تشفيرها بحيث تصبح غير مفهومة من قبل البشر وتحتاج لفك تشفير.

هل كلمة المرور المشفرة محمية بما يكفي ؟

يقوم متصفح الكروم بإجراء عملية تشفير باستخدام  توابع يمكن التواصل معها من قبله API function بحيث يقوم بتشفير كلمات المرور الخاصة بالكروم بناء على كلمة مرور رئيسية ترتبط بكلمة مرور تسجيل دخول المستخدم لنظام ويندوز وفق تشفير من نوع Triple DES .

للأسف فإن كلمة مرور ويندوز يمكن الوصول إليها عن طريق برنامج مثل chrome Pass والذي يستطيع إظهار كلمات المرور المخزنة في متصفح الكروم وإظهارها بشكل غير مشفر كما هو موضح في الشكل التالي:

عندما قمنا بتفحص برنامج ChromePass بأكثر من مضاد فيروسات بواسطة موقع Virus Total فقط فإن نصف مضادات الفيروسات كشفت عن مقدار خطر هذا البرنامج بينما النصف الآخر اعتبره آمناً.

برنامج IE PassView الخاص بإظهار كلمات مرور الإنترنت إكسبلولر.

في حال قام أحدهم بسرقة ملف قاعدة بيانات كلمات المرور الخاصة بمتصفح الكروم والانترنت إكسبلولر فلن يقدر على مشاهدة كلمات المرور لأنها مشفرة ومفتاح فك التشفير هو كلمة المرور الخاصة بالويندوز.

 

كيف يمكن لأي شخص أن يصل لكلمات المرور المخزنة في المتصفحات ؟

في حال استطاع أي شخص أن يصل إلى حاسبك فعندما يقوم بفتح متصفح الويب يمكنه بسهولة إيجاد كلمات المرور التي يعكف المتصفح على تخزينها فالنسبة لمتصفح الكروم يمكنك أن تدخل العنوان التالي إلى قائمة العناوين كما هو موضح في الصورة التالية :

chrome://settings/passwords

لتجد جميع كلمات المرور التي قام المستخدم بتخزينها فيما مضى كل مايتطلبه الأمر لإظهار كلمة المرور هذه هو الضغط على كلمة Show.

بالنسبة لمتصفح الفايرفوكس يمكن فتح نافذة الخيارات ومن ثم اختيار خيارات أمان Security ومن ثم الضغط على زر كلمات مرور مخزنة Saved Passwords واختيار Show Password بحيث ستظهر قائمة بجميع كلمات المرور المخزنة وفقاً للموقع بحيث يمكن البحث ضمن مربع البحث عن كلمة مرور أي موقع كما هو حال الكروم.

يتيح الفايرفوكس إمكانية وضع كلمة مرور للدخول لهذا الخيار تدعى كلمة السر هذه master password ولكن يتم تعطيلها بشكل إفتراضي بحيث يتوجب عليك وضع كلمة أمان لحماية بقية كلمات سرك.

من جهة أخرى لايوفر متصفح الإنترنت إكسبلولرInternet Explorer  أي طريقة مضمنة لإظهار كلمات المرور المخزنة بحيث يتم تخزين كلمات المرور ووضعها ضمن ملف مشفر ولكن للأسف يوجد الكثير من الأدوات مثل IE PassView التي تعمل على إظهار كلمات المرور المخزنة الخاصة بالمستخدم الحالي.

يمكنك بالإضافة لذلك أن تقوم بذلك بدون تحميل أي أداة برمجية من الإنترنت لإظهار كلمات المرور كما هو حال موقع Reveal Passwords bookmarklet.

ماذا يحدث بحق السماء ولم هذا الاستهتار الأمني بكلمات المرور ؟

تدوير الكثير من النقاشات مابين مؤيدي ومعارضي هذا الأمر مابين المستخدمين هل هذا الأمر يشكل ثغرة أمنية أم هل مفيدة حقاً في حال نسيت كلمة مرورك بيوم من الأيام ؟

هل يتوجب على فريق مطوري الكروم والفايرفوكس وغيرهم ممن يدعمون هذا الخيار ليغيروا الخيارات الإفتراضية لمنع إظهار كلمات المرور المخزنة ؟ هل تمت خيانتنا من قبل المطورين ؟

ينادي مدافعوا هذه الفكرة بالأمور التالية :

- يقوم كلا من الكروم والإنترنت إكسبلولر بحماية كلمات المرور المخزنة مع كلمات مرور الخاصة بتسجيل دخول المستخدم لنظام التشغيل ويندوز. ففي حال لم تسجل الدخول لحسابك في الويندوز فلن يتم الوصول لجميع كلمات المرور الخاصة بك على المتصفح وبالتالي حماية كلمات مرور المتصفحات مرتبطة بحماية كلمة مرور الخاصة بمستخدم الويندوز.

- في حال قام المخترق بالوصول فيزيائياً (أصبح اللابتوب بمتناول يده) أو قام بزرع برامج تجسس تعمل في الخفاء فيمكنه بكل بساطة أن يعرف الأحرف التي تقوم بطباعتها عبر إحدى برامج الـ keylogger وبالتالي فإن أي كلمة مرور لحماية كلمات المرور master password لن تجدي هنا ولاحتى برامج إدارة كلمات المرور مثل LastPass.

- قد لاتكون طريقة كلمة المرور master password مفيدة للكثيرين الذين قد يعملوا على إلغاء تفعيلها ويتحجج مؤيدوا هذه الفكرة بإلغاء معظم مستخدمي ويندوز للـ UAC فلن يرغب المستخدمون بإدخال كلمة مرور لإدخال كلمة مرور أخرى.

- في حال قام متصفحك بتسجيل الدخول لموقع ما فيمكن للمخترق أن يصل لحسابك على ذلك الموقع في حال امتلك القدرة للوصول إلى متصفحك.

من جهة أخرى ينادي معارضوا هذه الفكرة بالأمور التالية :

- يجلس العديد من مستخدمي الويندوز وقد يترك الشخص جهازه لفترة بسيطة ويعود وهو في حالة تسجيل الدخول أو قد يفتح الجهاز أحد الضيوف الذي سيستطيع بسهولة أن يعرف كلمات مرور المضيف. حتى الأشخاص الذين يمتلكون قدرة للوصول عن بعد كما هو حال مستخدمي برامج التحكم عن بعد مثل Team Viewer قادرون للوصول لهذه المعلومات الحساسة.

- ستشكل كلمة مرور master password طبقة حماية إضافية لحماية قاعدة بيانات كلمات المرور بحيث لن يقلق المستخدم حيال سوء استخدام الضيوف للحاسب.

- معظم كلمات مرور المستخدم الخاصة بالويندوز ضعيفة للغاية ومعظم الأشخاص لايقومون بقفل أجهزتهم عندما يبعتدون لبعض الوقت عن أجهزتهم.

- يتيح متصفح الكروم كما هو حال بعض المتصفحات مثل maxthon وغيره إمكانية عمل أكثر من مستخدم للمتصفح Profiles بحيث يمكن الدخول لحساب ويندوز واحد والعمل على أكثر من مستخدم خاص بالمتصفح.

تكمن أهمية مستخدمي المتصفح في المتصفحات السحابية كما هو حال متصفح maxthon بحيث يمكن تسجيل الدخول وفق أكثر من حساب كي يتم تحميل الاعدادات الخاصة بهذا المستخدم ورفع مايتم تعديله للسحاب(الإنترنت).

للأسف لاتوجد طريقة لفصل هذه الحسابات المتعددة داخل حساب نظام ويندوز الواحد بحيث يمكن المخترق أن يكشف جميع هذه الحسابات.

- في حال استطاع المخترق الوصول لمتصفحك الذي قام بتسجيل الدخول سلفاً ولم يقدر المخترق تحصيل كلمة سرك سيقدر هذا المخترق تغير أو حذف كلمة مرورك في حال عدم وجود سياسات أمنية واضحة.

كيفية حماية كلمات المرور المحمية :

في حال اعترضك القلق حيال حماية كلمات المرور الخاصة بك في المتصفح فيمكن للأمور التالية أن تساعد على حماية كلمات مرورك:

-   استخدم برنامج خاص بإدارة كلمات المرور مثل LastPass يعمل هذا البرنامج مع كل المتصفحات الشهيرة بحيث يوفر كلمة مرور رئيسية Master Password تمنع الوصول لكلمات المرور عندما تقوم بتسجيل الخروج من أي موقع. مطورو الكروم لم يرغبو بإعطاءك خاصية كلمة المرور الرئيسية ولكن يمكن إضافتها بنفسك عن طريق إستخدام هذا البرنامج.

- في حال استخدامك لمتصفح فايرفوكس: فيمكن تفعيل خاصية كلمة المرور الرئيسية master password والتي يتم تعطيلها بشكل افتراضي كي لا تكون عائقاً أمام استخدام المتصفح بشكل سلس (وجهة نظر مطوري الفايرفوكس).

تسمح كلمة المرور الرئيسية من منع الوصول لقاعدة بيانات كلمات المرور عن طريق حماية قاعدة البيانات هذه بواسطة كلمة سر واحدة (كلمة سر لحماية كلمات السر الأخرى) بحيث لن يستطيع أي شخص استطاع الوصول لحاسبك فيزيائياً أو عن طريق برامج خبيثة الحصول على كلمات المرور الخاصة بك.

للأسف فإن هذه الطريقة يمكن اختراقها عن طريق برامج من نوع key logger والتي تعمل على التنصت وإرسال كل مايتم كتابته على الكيبورد لإيميل المخترق.