Cara Mengekstrak Kata Sandi Chrome yang Tersimpan - Ketika Anda Tidak Tahu Kata Sandi Akun PC

780kata ·4menit
https://id.andytips.com/security/chrome-password-extraction-without-pc-password/
Konten Halaman

Ini adalah Bagian 3 dari Seri Peretasan Kata Sandi Chrome.

Di artikel sebelumnya, kita melihat bagaimana kata sandi yang tersimpan dapat bocor
ketika penyerang mengetahui kata sandi akun PC.

Dalam postingan ini, kita akan melihat skenario yang berbeda:
bahkan tanpa mengetahui kata sandi akun PC,
kata sandi Chrome masih dapat diekstrak jika komputer dibiarkan tidak terkunci sejenak.

Ini bukan peretasan jarak jauh.
Ini adalah bentuk lain dari serangan lokal, yang dilakukan oleh seseorang dengan akses fisik singkat ke mesin Anda.

Kerentanan Lain dalam Pengisian Otomatis Chrome

Pengisian otomatis kata sandi Chrome memudahkan penjelajahan sehari-hari.
Namun, struktur internalnya menciptakan kerentanan tambahan:
jika layar tidak terkunci, nilai kata sandi yang tersimpan sudah ada dalam teks biasa di dalam browser.

Ini berarti seseorang yang tidak mengetahui kata sandi akun PC
masih dapat mengambil kata sandi yang tersimpan di Chrome
cukup dengan mengakses mesin saat Anda pergi sejenak.

Sebelum melihat metodenya, mari kita pertimbangkan situasi yang dapat dengan mudah terjadi dalam penggunaan sehari-hari.

Risiko Serangan Lokal

Sebagian besar pengguna berniat untuk mengunci layar mereka saat meninggalkan meja.
Tetapi momen-momen singkat:
panggilan telepon, keluar sebentar untuk kopi, atau sibuk dengan pekerjaan,
dapat dengan mudah menyebabkan lupa mengunci layar.

Kunci otomatis Windows biasanya diatur ke 5 atau 10 menit,
yang meninggalkan jendela kesempatan yang cukup besar.

Serangan lokal memanfaatkan momen-momen seperti itu.
Jika layar PC menyala dan browser terbuka,
penyerang dapat mengambil kata sandi yang tersimpan tanpa kredensial tambahan.

Bagaimana Kata Sandi Pengisian Otomatis Disimpan

Kolom kata sandi yang diisi melalui pengisian otomatis Chrome menampilkan karakter yang tersembunyi (••••),
tetapi di dalam browser, kata sandi sudah disimpan dalam teks biasa.

Elemen HTML <input type="password"> hanya menyembunyikan kata sandi secara visual.
Kata sandi sebenarnya disimpan dalam atribut value elemen,
yang dapat diakses melalui alat pengembang atau skrip.

Struktur inilah yang membuat serangan berikut menjadi mungkin.

Metode 1: Menggunakan Developer Tools

Menggunakan Developer Tools memungkinkan Anda membaca kata sandi yang diisi otomatis secara langsung.
Anda tidak perlu pengetahuan JavaScript untuk mengikuti langkah-langkahnya.

  1. Buka halaman login di mana kata sandi telah diisi otomatis.

  2. Konfirmasi bahwa kolom kata sandi berisi karakter yang tersembunyi (••••).

  3. Klik kanan pada kolom input kata sandi.

  4. Pilih Inspeksi.

  5. Developer Tools akan terbuka dan menyorot elemen HTML yang relevan.

  6. Temukan elemen <input type="password" ...>.

  7. Catat nilai atribut id atau name-nya.

  8. Buka tab Console.

  9. Masukkan perintah berikut (ubah 'password' menjadi ID sebenarnya):

    console.log(document.getElementById('password').value);

  10. Tekan Enter dan kata sandi akan muncul dalam teks biasa.

Setelah terbiasa dengan langkah-langkahnya,
seluruh proses membutuhkan waktu kurang dari 30 detik.

Metode 2: Menggunakan Firefox

Fitur bawaan Firefox Impor Data dari Browser Lain
dapat menyalin kata sandi Chrome yang tersimpan tanpa meminta kata sandi akun PC.
Proses ini sederhana dan hampir tidak memerlukan pengetahuan teknis.

  1. Unduh dan instal Firefox.

  2. Pada peluncuran pertama, jendela Impor Data dari Browser Lain muncul.

  3. Pilih Chrome.

  4. Pilih item Kata Sandi.

  5. Klik Berikutnya untuk mengimpor kata sandi Chrome.

  6. Buka Kata Sandi (about:logins) dari menu Firefox.

  7. Semua nama pengguna dan kata sandi akan muncul dalam teks biasa.

  8. Pilih Ekspor Kata Sandi untuk menyimpan semuanya sebagai file CSV.

Firefox tidak meminta kata sandi akun PC untuk melihat atau mengekspor kata sandi ini.
Selain itu, kata sandi Chrome yang tersimpan dapat ditransfer dengan beberapa klik,
menjadikan ini metode yang sangat efektif ketika PC target dibiarkan tidak terkunci.

Risiko Struktural yang Diciptakan oleh Fitur Kemudahan

Kedua metode bekerja tanpa alat peretasan atau keterampilan lanjutan apa pun.
Mereka sepenuhnya bergantung pada fitur browser standar.

Satu-satunya persyaratan adalah layar PC tidak terkunci.
Di lingkungan PC bersama, pengaturan kantor, atau komputer keluarga,
jenis paparan ini dapat terjadi jauh lebih mudah daripada yang diharapkan orang.

Fitur pengisian otomatis Chrome memang praktis,
tetapi tidak boleh disalahartikan sebagai mekanisme penyimpanan kata sandi yang aman.

Di artikel berikutnya, kita akan melihat cara menghindari risiko ini
dan mengelola kata sandi dengan aman menggunakan pengelola kata sandi khusus seperti KeePassXC.

Daftar Seri:

💡 Artikel terkait

Apakah Pengisian Otomatis Kata Sandi Chrome Benar-Benar Aman? Risiko Nyata dari Kata Sandi yang Tersimpan

Fitur pengisian otomatis Chrome memang praktis, tetapi kata sandi yang tersimpan bisa terungkap lebih mudah dari yang Anda kira.
Artikel ini menjelaskan struktur pengisian otomatis dan kerentanan keamanan, sementara artikel berikutnya merinci proses kebocoran aktual langkah demi langkah.

💡 Artikel terkait

Cara Mengekstrak Kata Sandi Chrome yang Tersimpan - Jika Anda Tahu Kata Sandi Akun PC

Siapa pun yang mengetahui kata sandi akun PC Anda dapat melihat dan mengekspor semua kata sandi yang tersimpan di Chrome dalam hitungan menit.
Inilah panduan langkah demi langkah dari proses sebenarnya.

💡 Artikel terkait

Manajemen Kata Sandi dengan KeePassXC - Cara yang Jauh Lebih Aman untuk Mengelola Kata Sandi

Menggunakan KeePassXC memungkinkan Anda menggunakan pengisian otomatis kata sandi situs web dengan jauh lebih aman.
Tetapkan kata sandi master untuk mengelola semua kata sandi Anda dengan aman.