home » blog » detail

<(Ne)bezpečné získání hesel z Opery >

Nedávno jsem chtěl opět využít služby internetového bankovnictví, tak jako několikrát každý měsíc. Pro přihlašování používám Operu, protože si jako jediný nainstalovaný prohlížeč pamatuje (na rozdíl ode mne) heslo do této online aplikace. Ale ouha! Stránky se od minula změnily, proběhl upgrade na vychytanější verzi a snad i hezčí verzi a prohlížeč tedy odmítl heslo automaticky zadat (funguje na Ctrl+Enter).

Trochu mě to rozladilo, protože papíry s přístupem mám zašité kdo ví kde. Ale na druhou stranu placení nájmu může počkat, že :-) Pak mi začalo vrtat hlavou, že to heslo (a mnohá další) musí být přece někde uloženo. Inu zagooglil jsem a výsledek na sebe nenechal dlouho čekat.

Pro získání hesel v čitené formě stačí stáhnout utilitka unwand.exe, která - zdá se - funguje pro mnoho verzí Opery. Dalším krokem je nalezení souboru, kde jsou hesla zaheslovaná. S tím bez řečí pomůže sám prohlížeč po zadání „about:config“ do adresního řídku a dále přefiltrování výstupu klíčovým slovem „wand“. Tyto dva soubory umístíme do jednoho adresáře (např. C:hesla), program se používá z příkazové řádky. Pro výstup do souboru kvůli větší přehlednosti je vhodné přidat ještě jeden parametr navíc.

Tadá: C:\hesla\unwand wand.dat > tajne.txt

Výstup, konkrétně adresy webů a příslušné loginy i hesla, se uloží do textového souboru.. A proč o tom vlastně píšu (když bych se měl radši učit na zkoušky)? Překvapilo mě, jak trapně jednoduché je získání uložených tajných přístupů ke všem online aplikacím. Bankovnictví má naštěstí další bezpečnostní pojistky, ale jiné aplikace je už mít nemusí. Nedělám si iluze, různé spy- a malwary umí to samé co prográmek unwand.exe a ještě něco navíc.


 

Hodnocení: nehodnoceno | Tagy: opera, bezpečnost, heslo

Přidat komentář | Tagovat | Hodnotit

<Komentáře>

24/05/2009 09:50 | odpovědět

#1 Standa napsal/a:

Hehe docela te obdivuju ze si svoje pristupovy udaji do banky ulozil do Opery - velmi snadny terc pro hackery. Ale muzu te uklidnit - z vetsiny tehle programku (FF, TC, IE ..) lze ulozeny hesla dostat hodne jednoduse takze nejlepsi je, je tam proste neukladat a na ukladani hesel pouzivat nejaky specializovany programky co pouzivaj nejaky silny sifrovani - treba takovej Keepas - akorat to proste neni tak user friendly jako macknuti ctrl+enter v Opere :-). No a uplne nejlepsi je sifrovat celej HDD a je to v suchu komplet akorat to ma take sve negativa...

25/05/2009 20:54 | odpovědět

#2 ondra napsal/a:

Já zas "takovou" bezpečnost nepotřebuju.. Momentálně mám spíš starost o bezpečnost samotnýho ntb, jestli vydrží fungovat a pohromadě ještě aspoň půl roku (snad jo). Právě proto, že internetbanking má další pojistky, a asi spolehlivější než heslo, to neřešim. O těch prográmcích "one password" jsem slyšel, ale asi bych byl línej je používat.

26/05/2009 09:23 | odpovědět

#3 Standa napsal/a:

No ja bych rek ze "takova" bezpecnost neni zas tak od veci...staci aby ti ukradli ntb a maj vsechny tvoje osobni udaje a mohou s klidem brouzdat po tvem uctu....btw. nevim jak je zase ucinej ten druhej zpusob ochrany pres sms u toho bankingu ale kazdopadne obejit jde urcite taky... kazdopadne v prohlizecich nechavam ulozeny takovy ty neskodny do ruznejch for a facebooku ale internetbanking je na me docela silny kafe :-)

23/06/2009 15:57 | odpovědět

#4 Petr napsal/a:

No, souhlasím s Tebou, že získat hesla z browseru není pravděpodobně nic složitého. Já bych v tom ovšem zas až takový problém neviděl. Jde o to, koho si k počítači pouštíš a jestli mu důvěřuješ. Tím pro mne nejdůležitějším faktem je skutečnost, že právě třeba z Opery ta hesla nejdou ukrást při návštěvě nebezpečného webu jako tomu bývalo zvykem u některých webových prohlížečů doby minulé.

23/06/2009 22:17

#4.1 Standa napsal/a:

Ja osobne bych dulezity hesla nikam neukladal, staci aby ti nekdo ukradl notebook a ma vsechny tvoje data...proste u me jasne vede Keepass, z kteryho to nikdo nedostane i kdyz soubor z hesly vystavis na webu....+ jeste k nemu doporucuju nastudovat autype mode kdy ti prenese pozadovany hesla do prohlizece ale nezanecha za sebou zadny stopy....a navic pokud mam bejt uplne paranoidni tak timhle zpusobem se lze vyhnout i odchytavani stisknutejch klaves coz dneska dela mnoho trojanu :-)

24/06/2009 23:01 | odpovědět

#5 starenka napsal/a:

Ja pouzivam keepass(x). Hesla bezpecne zasifrovany a vzdycky s sebou. Ctrl+v to hodi do predtim oterene aplikace na stejnym desktopu. Neni co resit

© OK3 :: version 3.1 :: public beta forever :: design@ok3x.com