Almacenar sus contraseñas en su navegador web parece un gran ahorro de tiempo, pero ¿son las contraseñas seguras e inaccesibles para otros (incluso los empleados de la empresa de navegadores) cuando se retiran?
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas impulsada por la comunidad.
La pregunta
El lector de superusuario MMA tiene curiosidad por saber si los empleados de Google tienen (o podrían tener) acceso a las contraseñas que almacena en Google Chrome:
Entiendo que estamos realmente tentados a guardar sus contraseñas en Google Chrome. El beneficio probable es doble,
- No es necesario (memorizar e) ingresar esas contraseñas largas y crípticas.
- Estos están disponibles dondequiera que se encuentre una vez que inicie sesión en su cuenta de Google.
El último punto despertó mi duda. Dado que la contraseña está disponible en cualquier sitio , el almacenamiento debe estar en una ubicación central, y esto debe estar en Google.
Ahora, mi simple pregunta es, ¿puede un empleado de Google ver mis contraseñas?
La búsqueda en Internet reveló varios artículos / mensajes.
- ¿Guardas contraseñas en Chrome? Quizás deberías reconsiderar : Habla sobre el robo de sus contraseñas por parte de alguien que tiene acceso a su cuenta de computadora. No se menciona nada sobre la seguridad y la vulnerabilidad del almacenamiento central. Incluso hay una respuesta del jefe de tecnología de seguridad del navegador Chrome sobre el primer problema.
- La loca estrategia de seguridad de contraseñas de Chrome : Principalmente en la misma línea. Puede robar la contraseña de alguien si tiene acceso a la cuenta de la computadora.
- Cómo robar contraseñas guardadas en Google Chrome en 5 sencillos pasos : Le enseña cómo realizar realmente Actuar mencionado en los dos anteriores cuando tiene acceso a la cuenta de otra persona.
Hay muchos más (incluidos éste a este sitio ), sobre todo en la misma línea, puntos, contrapuntos, grandes debates. Me abstengo de mencionarlos aquí, simplemente realiza una búsqueda si quieres encontrarlos.
Volviendo a mi consulta original, ¿un empleado de Google puede ver mi contraseña? Como puedo ver la contraseña con un simple botón, definitivamente se pueden eliminar (descifrar) incluso si están cifradas. Esto es muy diferente de las contraseñas guardadas en sistemas operativos tipo Unix, donde la contraseña guardada nunca se puede ver en texto sin formato.
Utilizan un algoritmo de cifrado unidireccional para cifrar sus contraseñas. Esta contraseña cifrada se almacena luego en el archivo passwd o shadow. Cuando intenta iniciar sesión, la contraseña que ingresa se cifra nuevamente y se compara con la entrada en el archivo que almacena sus contraseñas. Si coinciden, debe ser la misma contraseña y se le permite el acceso. Por lo tanto, un superusuario puede cambiar mi contraseña, puede bloquear mi cuenta, pero nunca puede ver mi contraseña.
Entonces, ¿están sus preocupaciones bien fundadas o un poco de conocimiento disipará su preocupación?
La respuesta
El colaborador de superusuario Zeel lo ayuda a tranquilizarse:
Respuesta corta: No *
Chrome puede descifrar las contraseñas almacenadas en su máquina local, siempre que su cuenta de usuario del sistema operativo esté conectada. Y luego podrá verlas en texto sin formato. Al principio, esto parece horrible, pero ¿cómo crees que funciona la función de autocompletar? Cuando se completa ese campo de contraseña, Chrome debe insertar la contraseña real en el elemento del formulario HTML; de lo contrario, la página no funcionaría correctamente y no podría enviar el formulario. Y si la conexión al sitio web no es HTTPS, el texto sin formato se envía a través de Internet. En otras palabras, si Chrome no puede obtener las contraseñas de texto sin formato, entonces son totalmente inútiles. Un hash unidireccional no es bueno, porque necesitamos usarlos.
Ahora que las contraseñas están encriptadas, la única forma de volver a convertirlas en texto sin formato es tener la clave de desencriptación. Esa clave es su contraseña de Google o una clave secundaria que puede configurar. Cuando inicie sesión en Chrome y sincronice, los servidores de Google transmitirán la cifrado contraseñas, configuraciones, marcadores, autocompletar, etc., en su máquina local. Aquí Chrome descifrará la información y podrá utilizarla.
Por parte de Google, toda esa información se almacena en su estado cifrado y no tienen la clave para descifrarla. La contraseña de su cuenta se compara con un hash para iniciar sesión en Google, e incluso si deja que Chrome la recuerde, esa versión encriptada está oculta en el mismo paquete que las otras contraseñas, es imposible acceder a ella. Por lo tanto, un empleado probablemente podría tomar un volcado de los datos encriptados, pero no les haría ningún bien, ya que no tendrían forma de usarlos. *
Entonces no, los empleados de Google no pueden ** acceder a sus contraseñas, ya que están encriptadas en sus servidores.
* Sin embargo, no olvide que cualquier sistema al que pueda acceder un usuario autorizado puede ser accedido por un usuario no autorizado. Algunos sistemas son más fáciles de romper que otros, pero ninguno es a prueba de fallas. . . Dicho esto, creo que confiaré en Google y en los millones que gastan en sistemas de seguridad, más que en cualquier otra solución de almacenamiento de contraseñas. Y diablos, soy un nerd debilucho, sería más fácil sacarme las contraseñas que romper el cifrado de Google.
** También asumo que no hay una persona que simplemente trabaja para Google obteniendo acceso a su máquina local. En ese caso, estás jodido, pero el empleo en Google ya no es un factor. Moraleja: Hit Ganar + L antes de salir de la máquina.
Si bien estamos de acuerdo con Zeel en que es una apuesta bastante segura (siempre que su computadora no se vea comprometida) que sus contraseñas estén seguras mientras están almacenadas en Chrome, preferimos cifrar todos nuestros inicios de sesión y contraseñas en un Bóveda de LastPass .
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Consulte el hilo de discusión completo aquí .
