Чи можуть співробітники Google бачити Мої збережені паролі Google Chrome?
Зберігання паролів у веб-переглядачі схоже на заощадження часу, але захищені та недоступні для інших (навіть співробітники компанії-переглядача) паролів, коли вони зникають?
Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..
Питання
Читач SuperUser MMA цікавий, якщо співробітники Google мають (або можуть мати) доступ до паролів, які він зберігає в Google Chrome:
Я розумію, що насправді хочеться зберегти паролі в Google Chrome. Ймовірна вигода - двічі,
- Вам не потрібно (запам'ятовувати та вводити) ці довгі та загадкові паролі.
- Вони доступні в будь-якому місці, коли ви входите до свого облікового запису Google.
Останній пункт викликав мої сумніви. Оскільки пароль доступний де завгодно, сховище має бути в якомусь центральному місці, і це має бути в Google.
Тепер, моє просте питання, чи може співробітник Google бачити мої паролі?
Пошук по Інтернету виявив кілька статей / повідомлень.
- Ви зберігаєте паролі в Chrome? Можливо, вам слід переглянути: про те, що ваші паролі викрадені людиною, яка має доступ до облікового запису вашого комп'ютера. Нічого не згадувалося про безпеку та вразливість центрального сховища. Існує навіть відповідь від хронологічних технологій безпеки браузера Chrome щодо першого випуску.
- Страхова стратегія безпеки для Chrome: переважно за однією лінією. Ви можете вкрасти пароль у когось, якщо у вас є доступ до облікового запису комп'ютера.
- Як викрасти паролі, збережені в Google Chrome у 5 простих кроки: навчить вас, як насправді виконувати діяти згаданих у попередніх двох, коли ви маєте доступ до чужого рахунку.
Є багато інших (включаючи цей у цього сайту), головним чином уздовж тієї ж лінії, пунктів, зустрічних точок, величезних дебатів. Я утримуюся від згадування їх тут, просто виконайте пошук, якщо ви хочете їх знайти.
Повертаючись до мого початкового запиту, чи може співробітник Google бачити мій пароль? Оскільки я можу переглядати пароль за допомогою простої кнопки, безумовно, вони можуть бути розігнані (розшифровані), навіть якщо вони зашифровані. Це дуже відрізняється від паролів, збережених в Unix-подібних операційних системах, де збережений пароль ніколи не можна побачити у вигляді звичайного тексту.
Вони використовують алгоритм шифрування в один бік для шифрування паролів. Цей зашифрований пароль зберігається у файлі passwd або shadow. Під час спроби входу пароль, який ви вводите, знову шифрується і порівнюється із записом у файлі, в якому зберігаються ваші паролі. Якщо вони збігаються, він повинен мати той самий пароль, і вам буде дозволений доступ. Таким чином, суперкористувач може змінити мій пароль, може заблокувати мій обліковий запис, але він ніколи не зможе побачити мій пароль.
Так що його занепокоєння добре обгрунтовані або буде трохи прозріння розвіяти його занепокоєння?
Відповідь
Співробітник суперкористувача Zeel допомагає розважити його:
Коротка відповідь: Ні *
Паролі, збережені на вашому локальному комп'ютері, можуть бути розшифровані Chrome, доки ваш обліковий запис операційної системи входить до системи. А потім ви можете переглядати їх у вигляді звичайного тексту. Спочатку це здається жахливим, але як ви думали, що автозаповнення працювало? Коли заповнюється це поле пароля, Chrome повинен вставити справжній пароль у елемент форми HTML - інакше сторінка не працюватиме правильно, і ви не зможете надіслати форму. Якщо підключення до веб-сайту не здійснюється через HTTPS, то звичайний текст надсилається через Інтернет. Іншими словами, якщо хром не може отримати звичайні текстові паролі, то вони абсолютно марні. Один із способів хеш не є хорошим, тому що ми повинні їх використовувати.
Тепер паролі фактично зашифровані, єдиний спосіб повернути їх до звичайного тексту - це ключ розшифрування. Цей ключ є паролем Google або додатковим ключем, який можна налаштувати. Під час входу в Chrome і синхронізації сервери Google надсилатимуть зашифровані паролі, налаштування, закладки, автоматичне заповнення тощо на локальному комп'ютері. Тут Chrome розшифрує інформацію та зможе використовувати її.
На кінці Google все, що інформація зберігається в його encrpyted держави, і вони не мають ключ для розшифровки його. Ваш пароль облікового запису перевіряється на хеш для входу в Google, і навіть якщо ви дозволите хром пам'ятати, що зашифрована версія прихована в тому ж пакеті, що й інші паролі, доступ до яких неможливий. Таким чином, працівник міг би схопити дамп зашифрованих даних, але він не зробив би їх нічого хорошого, оскільки вони не мали б можливості використовувати його. *
Тому ні, співробітники Google не можуть ** отримати доступ до ваших паролів, оскільки вони зашифровані на своїх серверах.
* Проте не забувайте, що до будь-якої системи, до якої може бути доступ авторизований користувач, може звернутися неавторизований користувач. Деякі системи простіше порушувати, ніж інші, але жоден з них не є надійним… Це, як кажуть, я вважаю, що довірятиме Google і мільйонам, які вони витрачають на системи безпеки, над будь-яким іншим рішенням для зберігання паролів. Та heck, я wimpy ботанік, це було б легше бити паролі з мене ніж розрив шифрування Google.
** Я також припускаю, що немає людини, яка просто трапляється, щоб працювати в Google, отримуючи доступ до вашої локальної машини. У цьому випадку ви зіпсовані, але робота в Google насправді не є чинником. Мораль: Натисніть Win + L перед виходом з машини.
Хоча ми згодні з тим, що це досить безпечна ставка (якщо ваш комп'ютер не скомпрометований), що ваші паролі насправді безпечні під час зберігання в Chrome, ми вважаємо за краще шифрувати всі входи та паролі в сховищі LastPass.
Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.