Môžu zamestnanci spoločnosti Google zobraziť moje uložené heslá prehliadača Google Chrome?

Ukladanie hesiel do vášho webového prehliadača sa zdá byť skvelým časovým šetričom, ale heslá sú zabezpečené a nedostupné pre ostatných (dokonca aj pre zamestnancov spoločnosti prehliadača), keď sa rozišli?

Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.

Otázka

Čítačka SuperUser MMA je zvedavá, ak zamestnanci spoločnosti Google majú (alebo mohli mať) prístup k heslá, ktoré ukladá v prehliadači Google Chrome:

Chápem, že sme skutočne pokúšaní zachrániť heslá v prehliadači Google Chrome. Pravdepodobný prínos je dvojnásobný,

• Nemusíte (vložiť do pamäte a) zadávať tie dlhé a tajomné heslá.
• Sú k dispozícii všade, kde ste sa prihlásili do svojho účtu Google.

Posledný bod vyvolal moje pochybnosti. Keďže heslo je k dispozícii kdekoľvek, úložisko musí byť v nejakom centrálnom mieste a malo by to byť v spoločnosti Google.

Teraz je moja jednoduchá otázka, môže zamestnanec spoločnosti Google vidieť moje heslá?

Vyhľadávanie na internete odhalilo niekoľko článkov / správ.

• Ukladáte heslá v prehliadači Chrome? Možno by ste mali zvážiť: Hovorí o tom, že vaše heslá boli ukradnuté niekým, kto má prístup k vášmu počítačovému účtu. Nič sa nespomína o centrálnej bezpečnosti a zraniteľnosti úložiska. Dokonca aj odpoveď od vedúceho technického poradcu prehliadača Chrome o prvom vydaní.
• Chrome šialenú stratégiu zabezpečenia hesla: Najčastejšie pozdĺž tej istej línie. Ktokoľvek môže kradnúť heslo, ak máte prístup k účtu počítača.
• Ako ukradnúť heslá uložené v prehliadači Google Chrome v 5 jednoduchých krokoch: Učí vás, ako skutočne vykonať akt uvedených v predchádzajúcich dvoch, keď máte prístup k účtu niekoho iného.

Existuje oveľa viac (vrátane tohto na táto stránka), väčšinou pozdĺž tej istej línie, body, protiklady, obrovské rozpravy. Nechám ich tu spomenúť, jednoducho vykonajte vyhľadávanie, ak ich chcete nájsť.

Ak sa vrátim k pôvodnému dotazu, môže môj zamestnanec Google vidieť moje heslo? Keďže si môžem prezrieť heslo pomocou jednoduchého tlačidla, určite sa môžu rozbiť (dešifrované), aj keď sú šifrované. Toto je veľmi odlišné od hesiel uložených v systéme operačného systému Unix, kde sa uložené heslo nemôže nikdy zobraziť v obyčajnom texte.

Používajú jednosmerný šifrovací algoritmus na šifrovanie vašich hesiel. Toto zašifrované heslo sa potom uloží do súboru passwd alebo tieňa. Pri pokuse o prihlásenie sa zadané heslo znova zašifruje a porovná sa so záznamom v súbore, ktorý ukladá vaše heslá. Ak sa zhodujú, musí to byť rovnaké heslo a máte povolený prístup. Preto môže superuser zmeniť svoje heslo, môžem zablokovať môj účet, ale nikdy nevidí heslo.

Také sú jeho obavy dobre podložené, alebo sa trochu nahliadne rozptýliť jeho obavy?

Odpoveď

Príslušník SuperUser Zeel pomáha svojmu mysli uvoľniť:

Krátka odpoveď: Nie *

Heslá uložené na vašom lokálnom počítači môžu byť dešifrované prehliadačom Chrome, pokiaľ je prihlásený používateľský účet systému OS. A potom ich môžete zobraziť v obyčajnom texte. Spočiatku sa to zdá byť hrozné, ale ako si myslel, že pracuje automatické doplňovanie? Keď sa vyplní toto pole s heslom, Chrome musí vložiť skutočné heslo do elementu formulára HTML - inak by stránka nefungovala správne a tento formulár ste nemohli odoslať. A ak pripojenie k webovej lokalite nie je cez HTTPS, jednoduchý text sa potom posiela cez internet. Inými slovami, ak chróm nemôže získať heslá pre jednoduchý text, potom sú úplne zbytočné. Jednosmerný hash nie je dobrý, pretože ich potrebujeme použiť.

Teraz sú heslá v skutočnosti šifrované, jediný spôsob, ako ich dostať späť na čistý text, je mať dešifrovací kľúč. Týmto kľúčom je vaše heslo Google alebo sekundárny kľúč, ktorý môžete nastaviť. Keď sa prihlásite do prehliadača Chrome a synchronizujete, budú servery Google odosielať šifrované heslá, nastavenia, záložky, automatické naplnenie atď. do miestneho počítača. Chrome preštuduje informácie a umožní ich používať.

Na konci Google sa všetky tieto informácie ukladajú v štádiu registrácie a nemajú kľúč na ich dešifrovanie. Heslo vášho účtu je kontrolované na základe hesla na prihlásenie do spoločnosti Google a aj keď necháte chrome pamätať, šifrovaná verzia je skrytá v rovnakom balíku ako ostatné heslá, ktoré nemožno získať. Takže zamestnanec by pravdepodobne mohol chytiť skládku zašifrovaných údajov, ale nerobili by im nič dobré, pretože by ich nemali používať. *

Nie, zamestnanci spoločnosti Google nemôžu ** pristupovať k vašim heslám, pretože sú šifrované na svojich serveroch.

* Nezabúdajte však, že akýkoľvek systém, ku ktorému môže získať prístup oprávnený používateľ, môže získať prístup neoprávnený používateľ. Niektoré systémy sa ľahšie prelomia než ostatné systémy, ale žiadny z nich nie je odolný voči chybám ... Na základe toho sa domnievam, že budem dôverovať spoločnosti Google a miliónom, ktoré trávia v bezpečnostných systémoch, než akékoľvek iné riešenie na ukladanie hesiel. A sakra, som strašidelný blázon, bolo by ľahšie poraziť heslá zo mňa, než by som šliapal šifrovanie Google.

** Tiež predpokladám, že neexistuje osoba, ktorá by práve pracovala, keby spoločnosť Google získala prístup k vášmu miestnemu počítaču. V takom prípade ste skrutkovaní, ale zamestnanosť v spoločnosti Google nie je v skutočnosti faktorom. Morálne: Hit Win + L pred opustením stroja.

Zatiaľ čo súhlasíme so spoločnosťou Zeel, že je to docela bezpečná stávka (pokiaľ váš počítač nie je ohrozený), že vaše heslá sú v skutočnosti v bezpečí pri uložení v prehliadači Chrome, uprednostňujeme šifrovanie všetkých prihlásení a hesiel v trezore LastPass.

Máte niečo doplniť vysvetlenie? Vyjadrite sa v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.