Nếu bạn có thói quen Lưu mật khẩu trên trình duyệt Chrome để dễ dàng đăng nhập sau này mà không cần nhập mật khẩu lại nên từ bỏ đi. Mật khẩu được lưu trên Chrome dễ dàng bị trích xuất ra và bất cứ ai cũng có thể xâm nhập vào tài khoản của bạn. Chromiux là công cụ viết bằng Python giúp lấy tất cả Password và Cookie mà người dùng đã lưu trên trình duyệt có nhân chromium và lưu ra file txt.
Hack Password đã save trên Chrome bằng Chromiux
Chromiux là công cụ được viết bằng Python 3 giúp lấy Cookie và Password bạn đã lưu trên trình duyệt Chrome. Thật nguy hiểm nếu bạn cứ ý lại vào khả năng bảo mật của trình duyệt này và mật khẩu Windows.
Thông thường nếu Windows bạn có đặt mật khẩu đăng nhập, nếu muốn xem được mật khẩu đã lưu trên Chrome thì cần có phải có mật khẩu đăng nhập của Windows. Nhưng Chromiux sẽ giúp bạn vượt qua sự kiểm soát của Windows để trích xuất tất cả mật khẩu đã lưu.
Nguy hiểm hơn, công cụ này còn lấy được cả Cookie trình duyệt. Khi có Cookie rồi, hacker có thể đăng nhập vào bất cứ trang nào mà không cần phải nhập mật khẩu, cho dù bạn có dùng xác minh 2 bước.
Bắt đầu nào, trên Windows hoặc Linux bạn cài Python 3 nhé, mình test trong môi trường python 3.9 và trình duyệt Chrome 89 mới nhất hiện nay.
Trước tiên bạn cần Download Chromiux về máy tính.
Giải nén file vào thư mục bất kỳ, ví dụ C:Chromiux-main
Bạn mở CMD và gõ lệnh sau:
cd C:Chromiux-main
pip install -r requirements.txt
Bây giờ chúng ta sẽ sử dụng công cụ trích xuất Password trong Chrome. Tiến hành gõ lệnh:
cd C:Chromiux-mainChromePasswordDecrypter
python ChromeDecryptv8.py
Nếu dùng Chrome phiên cũ thì bạn dùng thử lệnh python ChromeDecryptv7.py
Nếu bạn muốn xuât Password trên Chrome ra file txt thì dùng lệnh: python ChromeDecryptv8.py > pass.txt
Nếu bạn muốn xuất Cookie đang có trên trình duyệt thì dùng lệnh:
cd C:Chromiux-mainChromeCookiesDecrypter
python ChromeCookiesDecrypter.py -s
Khi có cookie rồi thì bạn dùng Extension Editthiscookie Import cookie vào trình duyệt để đăng nhập vào tài khoản của nạn nhân nhé.
Rút kinh nghiệm cho bản thân về bảo vệ mật khẩu
Bạn nghĩ rằng việc sử dụng nhiều mật khẩu khác nhau cho mỗi lần đăng nhập trang web là đủ để bảo vệ bản thân. Điều này có thể đúng với các trang cung cấp xác thực 2 yếu tố, nhưng thực tế là hầu hết các trang vẫn chưa tích hợp khả năng 2FA. Cho dù thế bạn có thể bị Hack thông thông Cookie, vì vậy nhớ đăng xuất các trang web sau mỗi lần truy cập xong.
Vậy chúng ta bảo vệ mật khẩu của mình như thế nào? Có vẻ như các phần mềm quản lý mật khẩu của bên thứ ba, có rất nhiều trên thị trường hiện nay, sẽ là một lựa chọn thông minh (hãy tự nghiên cứu, bởi vì thành thật mà nói, mình chưa sử dụng các phần mềm đó cho đến bây giờ và không thể đưa ra đề xuất), công ty LastPass vừa bị Hack đấy. Tuy nhiên, có một điều rõ ràng – dựa vào Chrome để bảo vệ mật khẩu là một ý tưởng rất, rất tệ.
Mình phải thừa nhận rằng, xem qua danh sách các mật khẩu giống như đi qua một chuyến đi ngược dòng trí nhớ. Các trang web mà mình đã quên từ lâu, các tài khoản mà mìnhđã quên và thậm chí một số sàn giao dịch tiền điện tử mà tôi quên rằng mình có tiền. Đây là phiên bản dài hơn một chút của tập lệnh này giúp lưu tất cả thông tin vào một tệp văn bản để bạn xem nếu bạn muốn xem toàn bộ dữ liệu đăng nhập đã lưu của mình.