Rozumiem, że naprawdę kusi nas, aby zapisać nasze hasła w Google Chrome. Prawdopodobna korzyść jest podwójna,
- Nie musisz (zapamiętywać i) wprowadzać tych długich i tajemniczych haseł.
- Są one dostępne gdziekolwiek jesteś, gdy zalogujesz się na swoje konto Google.
Ostatni punkt wzbudził moje wątpliwości. Ponieważ hasło jest dostępne w dowolnym miejscu , pamięć musi znajdować się w jakiejś centralnej lokalizacji, a to powinno być w Google.
Moje proste pytanie brzmi: czy pracownik Google może zobaczyć moje hasła?
Wyszukiwanie w Internecie ujawniło kilka artykułów / wiadomości.
- Czy zapisujesz hasła w Chrome? Może powinieneś ponownie rozważyć : Mówi o kradzieży haseł przez osobę, która ma dostęp do twojego konta komputerowego. Nic nie wspomniano o bezpieczeństwie i podatności centralnego magazynu. Jest nawet odpowiedź od lidera ds. Bezpieczeństwa przeglądarki Chrome w sprawie pierwszego problemu.
- Szalona strategia bezpieczeństwa haseł Chrome : w większości ta sama linia. Możesz ukraść hasło od kogoś, jeśli masz dostęp do konta komputera.
- Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach : uczy, jak wykonać czynność wymienioną w poprzednich dwóch, gdy masz dostęp do konta innej osoby.
Jest o wiele więcej (w tym ten na tej stronie ), głównie wzdłuż tej samej linii, punktów, kontrapunktów, wielkich debat. Nie wspominam o nich tutaj, po prostu przeprowadź wyszukiwanie, jeśli chcesz je znaleźć.
Wracając do mojego pierwotnego zapytania, czy pracownik Google widzi moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, na pewno można je odkryć (odszyfrować), nawet jeśli są szyfrowane. Jest to bardzo różne od haseł zapisanych w systemach operacyjnych typu Unix, w których zapisanego hasła nigdy nie można zobaczyć w postaci zwykłego tekstu.
Używają jednokierunkowego algorytmu szyfrowania do szyfrowania haseł. To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Podczas próby logowania hasło, które wpisujesz, jest ponownie szyfrowane i porównywane z wpisem w pliku, w którym przechowywane są hasła. Jeśli się zgadzają, musi to być to samo hasło, a Ty masz dostęp. W ten sposób administrator może zmienić moje hasło, może zablokować moje konto, ale nigdy nie widzi mojego hasła.
źródło
Odpowiedzi:
Krótka odpowiedź: nie *
Hasła przechowywane na komputerze lokalnym mogą być odszyfrowane przez Chrome, o ile zalogowane jest konto użytkownika systemu operacyjnego. Następnie można je wyświetlić zwykłym tekstem. Na początku wydaje się to okropne, ale jak twoim zdaniem działało automatyczne wypełnianie? Gdy pole hasła zostanie wypełnione, Chrome musi wstawić prawdziwe hasło do elementu formularza HTML - w przeciwnym razie strona nie będzie działać poprawnie i nie będzie można przesłać formularza. A jeśli połączenie ze stroną internetową nie odbywa się przez HTTPS, zwykły tekst jest następnie przesyłany przez Internet. Innymi słowy, jeśli chrome nie może uzyskać haseł w postaci zwykłego tekstu, są one całkowicie bezużyteczne. Hash jednokierunkowy nie jest dobry, ponieważ musimy go użyć.
Teraz hasła są w rzeczywistości szyfrowane, jedynym sposobem na przywrócenie ich do zwykłego tekstu jest posiadanie klucza deszyfrującego. Ten klucz to hasło Google lub klucz pomocniczy, który możesz skonfigurować. Gdy zalogujesz się w Chrome i zsynchronizujesz, serwery Google prześlą zaszyfrowane hasła, ustawienia, zakładki, autouzupełnianie itp. Na komputer lokalny. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.
Po stronie Google wszystkie te informacje są przechowywane w stanie zaszyfrowanym i nie mają klucza do ich odszyfrowania. Hasło do twojego konta jest sprawdzane pod hashem, aby zalogować się do Google, a nawet jeśli pozwolisz Chrome zapamiętać to, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie co inne hasła, niemożliwe do uzyskania dostępu. Tak więc pracownik prawdopodobnie mógłby pobrać zrzut zaszyfrowanych danych, ale nie przyniosłoby to im żadnych korzyści, ponieważ nie miałby możliwości ich wykorzystania. *
Dlatego nie, pracownicy Google nie mogą ** uzyskiwać dostępu do haseł, ponieważ są one szyfrowane na swoich serwerach.
* Nie należy jednak zapominać, że do dowolnego systemu, do którego może uzyskać dostęp autoryzowany użytkownik, może uzyskać dostęp nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żaden nie jest odporny na awarie. . . Biorąc to pod uwagę, sądzę, że będę ufać Google i milionom, które wydają na systemy bezpieczeństwa, w stosunku do innych rozwiązań do przechowywania haseł. I cholery, jestem zbyt miekkie nerd, byłoby łatwiej pokonać haseł ze mnie niż szyfrowanie złamałeś Google za.
** Zakładam również, że nie ma osoby, która akurat pracuje dla Google, uzyskując dostęp do twojego komputera lokalnego. W takim razie masz problemy, ale zatrudnienie w Google nie jest już tak naprawdę czynnikiem. Morał: Hit Win+ Lprzed opuszczeniem maszyny.
źródło
W rzeczywistości odzyskiwanie haseł z większości przeglądarek jest dość proste. Szalony artykuł na temat bezpieczeństwa hasła został napisany przez kogoś, kto używa głównie Safari, i wydaje się uważać, że MUSI to być właściwy sposób. Jest to poziom bezpieczeństwa na poziomie użytkownika przez zaciemnienie. Osoba, która wychowana problem jest deweloper, który działa głównie iOS, OS X i tworzenie stron internetowych, a nie rozwój zabezpieczeń, a może chcesz przeczytać counterarguement Google zbyt
W systemie Windows to narzędzie firmy Nirsoft pozwala mi na przechwycenie wszystkich haseł z wielu przeglądarek. Jeśli ktoś ma fizyczny dostęp do twojego systemu, jest już za późno.
I nie, jest mało prawdopodobne, że Google pozwoli swoim pracownikom zobaczyć twoje hasła - rzeczywista synchronizacja części przeglądarki jest zaszyfrowana - albo przy użyciu twoich danych logowania, albo własnego hasła. Google jako takie nie ma niezaszyfrowanej kopii Twojego hasła. Jest to dobra praktyka, ponieważ zapobiega wyciekom wspomnianych haseł, pokusie zrobienia odrobiny miłości i od rządów żądania od Google przekazania haseł. Nie możesz potrząsać tym, czego nie wiesz.
Jeśli naprawdę się martwisz, po prostu użyj zewnętrznego menedżera haseł i zsynchronizuj go w dowolny sposób lub użyj mniej popularnej przeglądarki internetowej (której te narzędzia nie obsługują) z hasłem głównym. Niemniej jednak argument, że przechowywanie haseł w postaci zwykłego tekstu nie jest zbyt przydatne w dniu, w którym dostępne jest przyspieszone łamanie haseł przez GPU .
źródło
Teoretycznie nie. Aby uzyskać więcej informacji, zobacz https://support.google.com/chrome/answer/1181035 , ale zasadniczo synchronizowane dane (hasła, zakładki, historia itp.) Są szyfrowane przed wysłaniem na serwery Google. Szyfrowanie wykorzystuje albo hasło do konta Google, albo osobne hasło, które wybierzesz tylko w celu synchronizacji. Aby zachować synchronizację bez konieczności ciągłego wpisywania tego hasła, hasło synchronizacji musi być przechowywane na komputerze lokalnym.
Aby pracownik Google mógł zobaczyć Twoje hasła (zakładając, że nie ma dostępu do komputera lokalnego), musiałby znać hasło do konta Google lub hasło do synchronizacji. Zakładam, że hasło do konta Google jest przechowywane w postaci zaszyfrowanej po ich stronie, aby nie mogły one łatwo odszyfrować zsynchronizowanych danych.
Żeby było jasne, istnieją dwa różne problemy z przechowywaniem haseł, jeśli chodzi o Chrome. Jednym z nich jest sposób, w jaki hasła są przechowywane lokalnie, a różne linki mówią o tym, jak można je łatwo wyświetlić, jeśli ktoś może uzyskać dostęp do twojego konta lokalnego . Innym problemem jest to, o czym mówiłem powyżej, a mianowicie sposób, w jaki hasła są wysyłane na serwery Google, aby były dostępne w wielu instalacjach Chrome.
źródło