После того, как браузер научился запоминать пароли, пользователи быстро привыкают входить на свой аккаунт (в Одноклассниках или Вконтакте) без ввода логина и пароля.
В результате пароль быстро забывается. И вот, когда ты забыл пароль, а тут вдруг требуется войти на сайт на другом компьютере или ноутбуке, возникает вопрос — как узнать свой пароль, если там вместо пароля только точки…
Сегодня мы как раз и рассмотрим способы просматривать свои пароли, которые хранит браузер.
Начнем с простого.
Как посмотреть сохраненные пароли в Google Chrome.
Вверху справа нажимаем на кнопку с тремя полосками (Настройка и управление). Выбираем «Настройки«.
Спускаемся в самый низ страницы, выбираем «Показать дополнительные настройки«.
В разделе «Пароли и формы» кликаем на подсвеченную ссылку «Управление сохраненными паролями«.
Появится окно, где находим нужный сайт, кликаем по нему. Появится окошко с надписью «Показать«. Нажимаем кнопку «Показать» и нужный пароль можно увидеть уже без звездочек.
Как посмотреть сохраненные пароли в Mozilla Firefox.
В главном меню выбираем Инструменты — Настройки, переходим на вкладку Защита. Находим внизу кнопку «Сохраненные пароли» и нажимаем ее.
Внизу этого диалога есть кнопка «Отобразить пароли«. У вас спросят — уверены ли вы? Подтверждаем кнопкой «Да«. Появится еще одна колонка с паролями. Вся связка — сайт-логин-пароль собрана.
Как посмотреть пароли в Opera.
А вот в Opera так просто посмотреть сохраненные пароли не удастся. Да, здесь тоже есть возможность управления паролями, тоже открывается диалог (Ctrl+F12 — вкладка Формы — кнопка Пароли)
Но посмотреть в этом окне можно только логины для сайта. По-хорошему, этого уже достаточно — всегда можно воспользоваться функцией восстановления забытого пароля. Хотя, если у вас несколько почтовых ящиков, и на разных сайтах вы регистрируетесь на разные почтовые адреса, то только логина может оказаться недостаточно для восстановления пароля.
Но не отчаивайтесь. Я покажу вам способ, как посмотреть забытый пароль в Opera.
1. Набираем в адресной строке
opera:about
2. Находим раздел Пути и Копируем в буфер путь к папке Opera
3. Открываем проводник Windows (воспользуйтесь сочетанием клавиш Win+E) и вставляем в строку поиска сохраненный путь.
4. Ищем в самом низу файл wand.dat. Это файл, в котором хранятся пароли. Но информация о паролях в нем хранится зашифрованная. Нам нужен дешифровщик.
5. Забираем файл для чтения wand.dat
Скачиваем вот отсюда архив unwand.zip
6. Распаковываем архив. В папку Unwand копируем файл wand.dat в ту же и с помощью программы Unwand открываем файл wand.dat
Мастер-пароль в Opera.
Чтобы файл Wand.dat был защищен, установите мастер пароль в Опере:
Настройки — Вкладка Расширенные — Пункт Безопасность — Установить пароль. Желательно указать Один раз за сеанс. 
Обязательно поставьте галочку Использовать для защиты сохраненных паролей. Иначе файл Wand.dat не зашифруется.
Вот и все, теперь wand.dat хоть как то защищен.
Однако, будьте внимательны перед переустановкой Opera. Даже если вы сохраните и восстановите все настройки Opera, то менеджер паролей будет видеть только логин, а пароли — нет.
Если вы собрались переустанавливать Opera, ОБЯЗАТЕЛЬНО снимите мастер-пароль, и только потом сохраняйте настройки, скачивайте Opera и устанавливайте браузер по новой.
Не подскажите, можно ли как-то узнать свой пароль в браузере? Дело в том, что на компьютере у меня установлен браузер Firefox — и он подставляет логин и пароль для одного сайта автоматически и всё заходит. А вот на ноутбуке я зайти на этот сайт не могу, т.к. пароля не помню.
Можно ли в Firefox на компьютере посмотреть пароль, скрытый за звездочками (через настройки самого браузера не получается)?
Доброго времени суток!
Все современные браузеры запоминают посещенные вами сайты, пароли и логины, которые вы на них вводили (по крайней мере, браузер при вводе каких-то данных для авторизации, всегда предлагает их сохранить). Делается это для ускорения вашей работы: чтобы не вводить вручную каждый раз пароль, и не тратить на это время.
В этой статье покажу, как можно найти в настойках нескольких популярных браузеров эти данные (разумеется, и использовать их 👌).
Возможно, вам будет интересна статья о том, как посмотреть историю посещения сайтов, даже если она удалена.
Как просмотреть все логины и пароли, сохраненные в браузере
Chrome
Адрес настроек: chrome://settings/passwords
Копируете в адресную строку браузера Chrome ссылку выше и переходите по ней. Должно открыться окно настроек со всеми паролями и адресами сайтов напротив них.
Кстати, здесь же можно задать, использовать ли функцию автоматического входа на сайты (авто-подстановка пароля и логина в форму авторизации).
Chrome — пароли, логины, явки ☻. Список может быть достаточно большим.
Далее находите в списке сайтов тот, который вам нужен. Рядом со столбиком "Пароль" есть значок с "глазом" — если щелкнуть по нему мышкой, вместо звездочек появиться сам пароль (пример ниже). Вам останется его переписать или скопировать, и его можно использовать в другом браузере (или на другом ПК).
Firefox Quantum
Адрес настроек приватности: about:preferences#privacy
Чтобы открыть список сохраненных паролей в новом браузере Firefox Quantum — щелкните в правом верхнем углу по значку с тремя линиями (пример — 
), далее выберите "Настройки/Приватность и защита" . Также можно воспользоваться адресом, приведенным выше.
Далее щелкните по кнопке "Сохраненные логины. " (см. скриншот ниже).
Примечание : обратите внимание, чтобы в настройках стояла галочка напротив пункта "Запоминать логины и пароли для веб-сайтов". Если ее не будет — браузер ничего не сохранить в свой журнал.
Окно настроек приватности в Firefox
Далее перед вами предстанет список сайтов, для которых в браузере есть сохраненные данные. Просто находите свой сайт в списке и нажимаете кнопку "Отобразить пароли" (в нижней части окна). Собственно, всё.
Список сохраненных логинов в Firefox
Opera
Адрес настроек: opera://settings/passwords
Чтобы открыть список паролей в Opera — воспользуйтесь адресом, приведенным выше (просто скопируйте его в адресную строку браузера и перейдите по нему).
Далее перед вами предстанет окно, в котором вы сможете просмотреть весь список сохраненных паролей. Для просмотра скрытого пароля — просо нажмите кнопку "Показать" (скриншот ниже).
Список паролей в Opera
Яндекс-браузер
Адрес настроек: browser://settings/passwords
В Яндекс-браузере все аналогично, как и в других браузерах: скопируйте ссылку (приведена выше) в адресную строку браузера, и перейдите по ней. Далее в списке найдите нужный сайт и посмотрите пароль (кнопка "Показать/скрыть" ).
Пароли в Яндекс-браузере
Узнаем пароль, скрытый за звездочками
Бывает такое, что пароль забыл, а браузер его помнит и подставляет в форму авторизации автоматически, предлагая вам лишь подтвердить вход (как, например, на скрине ниже). Пароль, само-собой, скрыт звездочками, скопировать и посмотреть его нельзя. Но можно очень просто это изменить и узнать его.
Покажу на примере браузера Google Chrome (как самого популярного на сегодняшний день ✌. В принципе, во многих других браузерах действия будут аналогичны).
Для начала щелкните правой кнопкой мышки по паролю в виде звездочек, затем выберите в меню "Просмотреть код" (см. скриншот ниже).
Далее в выделенном коде странички обратите внимание на тип поля: type="password". Т.е. этот тип поля используется для ввода пароля и поэтому браузер скрывает все символы в нем звездочками.
Но этот тип поля ведь можно и поменять? Просто измените слово password на text — т.е. поменяем тип поля.
Меняем тип поля (password на text)
Как только вы допишите text и браузер примет это к сведению — вы увидите, что вместо звездочек в окне логина высветится ваш пароль. Теперь его можно скопировать из записать.
Видим пароль — все просто!
👉 Что касается Firefox по которому и был вопрос в начале статьи, то современная версия Firefox Quantum — очень похожа на Chrome, и действие описанное выше, делается в ней аналогично.
Также нужно щелкнуть правой кнопкой мышки по полю в которое вводите пароль, выбрать в меню "Исследовать элемент" , и поменять тип (type) с password на text.
Firefox Quantum — исследовать элемент
PS
Чтобы не забывать пароли, рекомендую завести небольшой блокнотик и туда записывать все важные пароли, логины, ответы на контрольные вопросы и пр. штуки, которые помогут вам быстро восстановить пробелы в памяти.
Многие посмеются, но на самом деле классная вещь — даже на другом ПК, вдали от своего основного, вы сможете зайти и авторизоваться на нужном вам сайте, и продолжить свою работу!
Шутка ли сказать, в моем блокноте есть пароли 20-летней давности от ресурсов, которые уже давно канули в лету. 👌
Внимание! Автор статьи не несет никакой ответственности за действия читателей и предупреждает, что неправомерный доступ к информации незаконен! Данная статья выложена исключительно с целью ознакомления с одним из способов взлома веб сайтов и не может служить руководством к реальному действию. Материал предназначен для начинающих веб разработчиков, чтобы они могли примерно представлять себе мысли взломщика хакера и успешно противостоять взлому: создавать эффективную защиту от подбора паролей.
Преподаватели в университете говорят, что лучше всего учиться на примере. Запоминание и осмысление информации гораздо лучше происходит, если сухая теория разбавляется живой демонстрацией. Именно так мы и поступим в данном случае: разберем алгоритм доступа к паролю пользователя на примере сайта Яплакаль. В своем примере мне понадобится следующее:
- Хостинг с возможностью исходящих соединений;
- язык PHP;
- поддержка Curl с отправкой POST;
- файл с паролями (или словарь);
- Cron;
- подключение и парсинг прокси (опционально).
Примечание: полное решение задачи по взлому сайта (с подробностями) я выкладывать не буду – специалист сам разберется, а для начинающих хакеров есть другие ресурсы. Или услуги специалиста 🙂
Исследуем форму авторизации
Предположим, что мы определили цель – имеем логин пользователя. Нам требуется узнать, с помощью какого пароля он заходит на сайт. Если мы посмотрим на главную страницу сайта (откроем её исходный код), то увидим, что форма авторизации отсылает данные POST-запроса на страницу с адресом «//www.yaplakal.com/act/Login/CODE/01/». При этом, помимо двух основных полей (логин и пароль) отсылаются еще скрытые поля, но, скажу сразу – они не имеют значения для подбора пароля.
Получаем и обрабатываем страницу
Создадим функцию получения веб-страниц с помощью Curl — get_page:
Ничего необычного вы здесь не увидите. Функция принимает на вход 4 параметра (адрес, юзер агент, логин и пароль), а на выходе выдает страницу. Пожалуй, советую обратить внимание только на строки 12 и 13: в них мы определяем, что не просто устанавливаем исходящее соединение, а еще и добавляем в curl параметр Post. Получаемую страницу мы обрабатываем с помощью такой процедуры:
Здесь все до безобразия просто: читаем файл с паролями в массив и пробуем. 1000 раз. Если в ответ выдается страница, в которой отсутствует фраза "Неверный пароль", то прекращаем работу скрипта и выводим на экран подошедший пароль.
Файл с паролями
Интересный момент: а что это за файл pass.txt? Это файл с паролями. Для брутфорса существуют специальные словари, с помощью которых хакеры подбирают пароли. Зачем они нужны? Дело в том, что действую просто перебором, мы даже в самом маленьком пароле для япа (минимальная длина – 8 символов) получаем 256289062500000000 вариантов. Многовато, не правда ли?
Словари с паролями можно составить и самостоятельно. Например, в одной своей статье я показывал самые популярные пароли для mail.ru – можно взять их – в файле почти 200 тысяч паролей.
Однако, стоит отметить, что перед взломщиком здесь встает проблема: за один раз даже 200 тысяч паролей не получится обработать. Во-первых, на каждом хостинге стоит ограниченное время исполнения php-скрипта – ресурсы сервера ограничены. Кроме этого, на каждом уважающем себя сайте стоит хотя бы минимальная защита от такого грубого брутфорса. Например, интернет магазины часто ставят ограничение на количество подключающихся ip в сутки – 2000 запросов хватает обычному пользователю, а не занимающемуся парсингом сайта.
Второе затруднение мы можем обойти с помощью прокси. Например, можно брать бесплатные прокси тут . С помощью того же curl просто парсить эту страничку и подставлять полученный ip и порт. Только придется затем немного доработать нашу функцию get_page – добавить пару строк:
В первой адрес и порт прокси, а во второй указываем тип.
Однако, бесплатные прокси не панацея – нередко, даже с уже опробованными браузер может выдать вот такое:
Да и первая проблема никуда не делась – время работы скрипта не уменьшилось. Обойти эту проблему можно с помощью запуска скрипта по расписанию.
На всех платных хостингах, в том числе и на моем , есть возможность запускать скрипты по расписанию. Зададим, например, выполнение нашего скрипта раз в час:
Сама строка сценария (пример):
Тут "/usr/bin/php5.6" — это интерпретатор, "/home/u/up/"— путь до домашней директории (вам надо будет определить его самостоятельно на своем хостинге), а "upread.ru/cron.php" — это уже непосредственно скрипт, который будет подбирать пароли.
Наш скрипт подбора требуется немного доработать. Надо сделать так, чтобы данные куда-то записывались – или в базу данных или в файл. Это несложно, поэтому я пропускаю подробности. Алгоритм тут такой: в конце работы скрип, когда закончит проверять очередную партию паролей, просто записывает номер строки последнего – а файл cron.php через определенное время начинает уже со следующей по порядку.
Для сайта пациента (яп) параметры на данный момент оказались такими: сайт выдерживает до 1000 запросов со одного ip каждые полчаса. То есть, по 2000 в час или 48 тысяч в сутки. На самом деле это неплохие параметры – обычно защита гораздо строже. Это значит, что наш файл с самыми распространенными паролями от mail.ru проверится полностью меньше, чем за 4 суток. А если взять файл с 16 миллионами паролей? На это с помощью одного потока уйдет более 300-х суток! Однако, так как это выполняет сервер, то вам то какая разница? Плюс подключить десяток прокси – и через месяц с большой вероятностью у вас будет пароль от нужного аккаунта.
Стоит отметить, что взломщики аккаунтов (подборщики паролей) нередко действуют по другой схеме: они парсят с сайта имена (логины) пользователей и с помощью самостоятельно составленного словаря паролей подбирают к ним. То есть атака идет на кого-то конкретного, а «широким фронтом».
В заключение хочу еще раз повторить, что информация предоставлена исключительно для законопослушных веб-мастеров и пользователей, заботящихся о собственной безопасности. Если у вас есть какие-либо вопросы, то я с удовольствием на них отвечу – за небольшое вознаграждение. Напишу любую программу или создам сайт.
Автор этого материала — я — Пахолков Юрий. Я оказываю услуги по написанию программ на языках Java, C++, C# (а также консультирую по ним) и созданию сайтов. Работаю с сайтами на CMS OpenCart, WordPress, ModX и самописными. Кроме этого, работаю напрямую с JavaScript, PHP, CSS, HTML — то есть могу доработать ваш сайт или помочь с веб-программированием. Пишите сюда.
статьи IT, php, curl, пароли, POST-запрос
