Główna » jak » Czy pracownicy Google mogą wyświetlać zapisane hasła Google Chrome?

    Czy pracownicy Google mogą wyświetlać zapisane hasła Google Chrome?

    Przechowywanie haseł w przeglądarce internetowej wydaje się być świetnym sposobem na zaoszczędzenie czasu, ale są one bezpieczne i niedostępne dla innych (nawet pracowników firmy przeglądarkowej), gdy są zgniecione?

    Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.

    Pytanie

    Czytnik SuperUser MMA jest ciekawy, czy pracownicy Google mają (lub mogą mieć) dostęp do haseł, które przechowuje w Google Chrome:

    Rozumiem, że naprawdę mamy ochotę zapisać nasze hasła w Google Chrome. Prawdopodobną korzyścią jest dwojakie,

    • Nie musisz (zapamiętywać i) wprowadzać tych długich i tajemniczych haseł.
    • Są one dostępne w dowolnym miejscu po zalogowaniu się na konto Google.

    Ostatni punkt wywołał moje wątpliwości. Ponieważ hasło jest dostępne gdziekolwiek, pamięć musi znajdować się w centralnej lokalizacji, a to powinno być w Google.

    Teraz moje proste pytanie brzmi: czy pracownik Google może zobaczyć moje hasła?

    Przeszukanie przez Internet ujawniło kilka artykułów / wiadomości.

    • Czy zapisujesz hasła w Chrome? Może powinieneś rozważyć: Rozmowy o kradzieży haseł przez kogoś, kto ma dostęp do twojego konta komputera. Nic nie wspomniało o bezpieczeństwie i luce w zabezpieczeniach centralnego magazynu. Odpowiedź na pytanie o pierwszy problem pochodzi nawet od specjalisty ds. Zabezpieczeń przeglądarki Chrome.
    • Cholerna strategia zabezpieczania hasłem Chrome: głównie wzdłuż tej samej linii. Możesz ukraść hasło komuś, jeśli masz dostęp do konta komputera.
    • Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach: nauczy Cię, jak faktycznie wykonywać działać wymienione w poprzednich dwóch, kiedy masz dostęp do konta kogoś innego.

    Jest o wiele więcej (w tym ten w ta strona), głównie wzdłuż tej samej linii, punktów, kontrapunktów, wielkich debat. Nie wspominam o nich tutaj, po prostu szukaj, jeśli chcesz je znaleźć.

    Wracając do mojego pierwotnego zapytania, pracownik Google może zobaczyć moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, zdecydowanie można je odhasować (odszyfrować), nawet jeśli są zaszyfrowane. Jest to bardzo odmienne od haseł zapisanych w uniksopodobnych systemach operacyjnych, w których zapisane hasło nigdy nie będzie widoczne w postaci zwykłego tekstu.

    Używają one jednokierunkowego algorytmu szyfrowania do szyfrowania haseł. To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Podczas próby logowania hasło, które wpisujesz, jest ponownie szyfrowane i porównywane z wpisem w pliku przechowującym twoje hasła. Jeśli pasują, musi być to samo hasło, a ty masz do niego dostęp. W ten sposób superużytkownik może zmienić moje hasło, może zablokować moje konto, ale nigdy nie zobaczy mojego hasła.

    Tak więc jego obawy są uzasadnione, a niewielki wgląd rozwiać jego niepokój?

    Odpowiedź

    Pomocnik SuperUser Zeel pomaga uspokoić umysł:

    Krótka odpowiedź: nie *

    Hasła zapisane na Twoim komputerze lokalnym mogą być odszyfrowane przez Chrome, o ile twoje konto użytkownika OS jest zalogowane. A potem możesz wyświetlić je w postaci zwykłego tekstu. Na początku wydaje się to okropne, ale jak ci się podział na automatyczne wypełnianie? Gdy pole hasła zostanie wypełnione, Chrome musi wstawić prawdziwe hasło do elementu formularza HTML - w przeciwnym razie strona nie będzie działać poprawnie i nie można przesłać formularza. A jeśli połączenie z witryną nie jest za pośrednictwem HTTPS, zwykły tekst jest przesyłany przez Internet. Innymi słowy, jeśli chrome nie może uzyskać hasła zwykłego tekstu, to są one całkowicie bezużyteczne. Hash jednokierunkowy nie jest dobry, ponieważ musimy z nich korzystać.

    Teraz hasła są w rzeczywistości zaszyfrowane, jedynym sposobem na przywrócenie ich do zwykłego tekstu jest posiadanie klucza odszyfrowywania. Ten klucz to Twoje hasło Google lub dodatkowy klucz, który możesz skonfigurować. Po zalogowaniu się w Chrome i zsynchronizowaniu serwery Google przesyłają zaszyfrowane hasła, ustawienia, zakładki, automatyczne uzupełnianie itp. na komputerze lokalnym. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.

    Po zakończeniu Google wszystkie te informacje są przechowywane w stanie enkrypcji i nie mają klucza do odszyfrowania. Twoje hasło do konta jest sprawdzane na podstawie hasha, aby zalogować się do Google, a nawet jeśli sprawisz, że chrome go zapamięta, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie, co inne hasła, do których nie można uzyskać dostępu. Tak więc pracownik mógłby prawdopodobnie pobrać zrzut zaszyfrowanych danych, ale nie zrobiłoby im to nic dobrego, ponieważ nie mogliby go użyć. *

    Nie, pracownicy Google nie mogą ** uzyskać dostępu do haseł, ponieważ są zaszyfrowane na swoich serwerach.

    * Nie zapomnij jednak, że dostęp do dowolnego systemu, do którego ma dostęp upoważniony użytkownik, może uzyskać nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żadna nie jest odporna na awarie ... Mówiąc, myślę, że zaufam Google i milionom, które wydadzą na systemy bezpieczeństwa, na wszelkie inne rozwiązania do przechowywania haseł. I do cholery, jestem zwinnym frajerem, łatwiej byłoby pokonać hasła niż złamać szyfr Google.

    ** Zakładam też, że nie ma osoby, która akurat pracuje dla Google, uzyskując dostęp do twojego lokalnego komputera. W takim przypadku jesteś spieprzony, ale zatrudnienie w Google nie jest już tak naprawdę czynnikiem. Moralne: Hit Win + L przed opuszczeniem maszyny.

    Chociaż zgadzamy się ze Zeelem, że jest to całkiem bezpieczny zakład (o ile komputer nie jest naruszony), że twoje hasła są rzeczywiście bezpieczne podczas przechowywania w Chrome, wolimy szyfrować wszystkie nasze loginy i hasła w skarbcu LastPass.

    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.

    Czy mogę przenieść mojego iPhone'a do innego przewoźnika?
    Czy mogę kontrolować cykle ładowania laptopa, aby przedłużyć żywotność baterii?
    Czy w rzeczywistości pył może uszkodzić mój komputer?
    Następny artykuł
    Czy urządzenia elektroniczne powodujące wysoką wilgotność mogą uszkodzić?
    Poprzedni artykuł
    Czy rozszerzenia plików EXE mogą zawsze zostać zastąpione przez COM?