Ukládání hesel ve webovém prohlížeči se jeví jako skvělá úspora času, ale jsou hesla bezpečná a nepřístupná ostatním (i zaměstnancům společnosti, která se zabývá prohlížečem), když se vrhnou pryč?
Dnešní relace Otázky a odpovědi k nám přichází s laskavým svolením SuperUser - členění Stack Exchange, komunitního seskupení webů otázek a odpovědí.
Otázka
Čtenář SuperUser MMA je zvědavý, zda mají zaměstnanci Google (nebo by mohli mít) přístup k heslům, která ukládá v Google Chrome:
Chápu, že jsme opravdu v pokušení uložit vaše hesla do Google Chrome. Pravděpodobná výhoda je dvojnásobná,
- Nemusíte (zapamatovat si a) zadávat tato dlouhá a tajemná hesla.
- Jsou k dispozici, ať jste kdekoli, jakmile se přihlásíte ke svému účtu Google.
Poslední bod vyvolal mé pochybnosti. Protože heslo je k dispozici kdekoli , úložiště musí být na nějakém centrálním místě a mělo by to být na Googlu.
Moje jednoduchá otázka nyní zní: Může zaměstnanec Google vidět moje hesla?
Hledání přes internet odhalilo několik článků / zpráv.
- Ukládáte hesla v Chromu? Možná byste to měli přehodnotit : Hovoří o odcizení vašich hesel někým, kdo má přístup k vašemu účtu na počítači. O zabezpečení a zranitelnosti centrálního úložiště se nic nezmínilo. Na první problém existuje dokonce i reakce technického zabezpečení prohlížeče Chrome.
- Šílená strategie zabezpečení hesla v Chromu : Většinou ve stejné linii. Pokud máte přístup k účtu počítače, můžete někomu ukrást heslo.
- Jak ukrást hesla uložená v prohlížeči Google Chrome v 5 jednoduchých krocích : Naučí vás, jak ve skutečnosti provádět akt zmíněné v předchozích dvou, když máte přístup k účtu někoho jiného.
Existuje mnoho dalších (včetně toto v tato stránka ), většinou ve stejné linii, body, kontrapunkty, obrovské debaty. Zdržel jsem se je zde zmínit, jednoduše je vyhledejte, pokud je chcete najít.
Když se vrátím k mému původnímu dotazu, uvidí zaměstnanec Google moje heslo? Vzhledem k tomu, že mohu zobrazit heslo pomocí jednoduchého tlačítka, rozhodně mohou být nehašovány (dešifrovány), i když jsou šifrovány. To se velmi liší od hesel uložených v unixových operačních systémech, kde uložené heslo nikdy nevidíte v prostém textu.
Používají jednosměrný šifrovací algoritmus k zašifrování hesel. Toto šifrované heslo se poté uloží do souboru passwd nebo shadow. Při pokusu o přihlášení je heslo, které zadáte, znovu zašifrováno a porovnáno s položkou v souboru, ve kterém jsou uložena vaše hesla. Pokud se shodují, musí to být stejné heslo a vy máte povolený přístup. Superuser tak může změnit moje heslo, může zablokovat můj účet, ale nikdy nevidí moje heslo.
Jsou tedy jeho obavy opodstatněné, nebo trochu jeho pochopení rozptýlí jeho starosti?
Odpověď
Přispěvatel SuperUser Zeel pomáhá uklidnit jeho mysl:
Krátká odpověď: Ne *
Hesla uložená na místním počítači mohou být dešifrována prohlížečem Chrome, pokud je přihlášen váš uživatelský účet operačního systému. A pak je můžete zobrazit v prostém textu. Zpočátku to vypadá hrozně, ale jak jste si mysleli, že automatické vyplňování funguje? Když toto pole pro heslo vyplníte, musí Chrome do prvku formuláře HTML vložit skutečné heslo - jinak by stránka nefungovala správně a formulář jste nemohli odeslat. A pokud připojení k webu není přes HTTPS, prostý text se poté odešle přes internet. Jinými slovy, pokud Chrome nedokáže získat hesla v prostém textu, pak jsou naprosto k ničemu. Jednosměrný hash není dobrý, protože je musíme použít.
Nyní jsou hesla ve skutečnosti šifrovaná, jediný způsob, jak je vrátit zpět do prostého textu, je mít dešifrovací klíč. Tímto klíčem je vaše heslo Google nebo sekundární klíč, který můžete nastavit. Když se přihlásíte do Chromu a synchronizujete, servery Google přenesou šifrované hesla, nastavení, záložky, automatické vyplňování atd. na místní počítač. Zde Chrome informace dešifruje a bude je moci použít.
Na konci Googlu jsou všechny tyto informace uloženy v zašifrovaném stavu a nemají klíč k jejich dešifrování. Heslo vašeho účtu je při přihlašování do Googlu zkontrolováno pomocí hash, ai když necháte Chrome, aby si ho pamatoval, šifrovaná verze je skryta ve stejném balíčku jako ostatní hesla a není k němu přístup. Zaměstnanec by se tedy pravděpodobně mohl chytit výpisu zašifrovaných dat, ale neprospělo by jim to, protože by je nemohli použít. *
Takže ne, zaměstnanci Google nemohou ** získat přístup k vašim heslům, protože jsou šifrována na jejich serverech.
* Nezapomeňte však, že k jakémukoli systému, ke kterému má přístup oprávněný uživatel, může mít přístup neoprávněný uživatel. Některé systémy se dají snadněji rozbít než jiné, ale žádný z nich není odolný proti selhání. . . Jak už bylo řečeno, myslím, že budu důvěřovat Googlu a milionům, které utrácejí za bezpečnostní systémy, jakémukoli jinému řešení pro ukládání hesel. A sakra, jsem chlípný pitomec, bylo by snazší vylomit ze mě hesla, než prolomit šifrování Google.
** Také předpokládám, že neexistuje osoba, která by náhodou pracovala pro Google a nezískala přístup k vašemu místnímu počítači. V takovém případě jste v háji, ale zaměstnání ve společnosti Google již ve skutečnosti není faktorem. Morální: Hit Vyhrát + L před opuštěním stroje.
I když souhlasíme se společností zeel, že je docela bezpečná sázka (pokud váš počítač není ohrožen), že vaše hesla jsou ve skutečnosti bezpečná, když jsou uložena v prohlížeči Chrome, dáváme přednost šifrování všech našich přihlašovacích údajů a hesel LastPass trezor .
Máte co dodat k vysvětlení? Zvuk v komentářích. Chcete si přečíst více odpovědí od ostatních technicky zdatných uživatelů Stack Exchange? Podívejte se na celé diskusní vlákno zde .
