Opbevaring af dine adgangskoder i din webbrowser virker som en god tidsbesparelse, men er adgangskoderne sikre og utilgængelige for andre (endda ansatte i browserfirmaet), når de eger mig væk?
Dagens spørgsmål og svar-session kommer til os med tilladelse fra SuperUser - en underinddeling af Stack Exchange, en community-driven gruppe af Q&A websteder.
Spørgsmålet
SuperUser-læser MMA er nysgerrig, om Google-medarbejdere har (eller kunne have) adgang til de adgangskoder, han gemmer i Google Chrome:
Jeg forstår, at vi virkelig er fristet til at gemme dine adgangskoder i Google Chrome. Den sandsynlige fordel er to gange
- Du behøver ikke at (huske og) indtaste disse lange og kryptiske adgangskoder.
- Disse er tilgængelige, uanset hvor du er, når du logger ind på din Google-konto.
Det sidste punkt udløste min tvivl. Da adgangskoden er tilgængelig overalt , opbevaringen skal være en eller anden central placering, og dette skal være hos Google.
Nu er mit enkle spørgsmål, kan en Google-medarbejder se mine adgangskoder?
Søgning over Internettet afslørede flere artikler / meddelelser.
- Gemmer du adgangskoder i Chrome? Måske skulle du overveje det : Taler om, at dine adgangskoder bliver stjålet af en person, der har adgang til din computerkonto. Intet nævnt om den centrale lagersikkerhed og sårbarhed. Der er endda et svar fra Chrome-browsers sikkerhedstekniske ledelse om det første problem.
- Chromes sindssyge adgangskodesikkerhedsstrategi : For det meste på samme linje. Du kan stjæle adgangskoden fra nogen, hvis du har adgang til computerkontoen.
- Sådan stjæles adgangskoder, der er gemt i Google Chrome i 5 enkle trin : Lærer dig, hvordan du faktisk udfører handling nævnt i de foregående to, når du har adgang til en andens konto.
Der er mange flere (inklusive denne at dette websted ), for det meste på samme linje, point, counter-points, enorme debatter. Jeg afholder mig fra at nævne dem her, bare foretag en søgning, hvis du vil finde dem.
Kommer jeg tilbage til min oprindelige forespørgsel, kan en Google-medarbejder se min adgangskode? Da jeg kan se adgangskoden ved hjælp af en simpel knap, kan de bestemt blive uskadet (dekrypteret), selvom de er krypteret. Dette er meget forskelligt fra de adgangskoder, der er gemt i Unix-lignende OS'er, hvor den gemte adgangskode aldrig kan ses i almindelig tekst.
De bruger en envejs krypteringsalgoritme for at kryptere dine adgangskoder. Denne krypterede adgangskode gemmes derefter i passwd- eller skyggefilen. Når du prøver at logge ind, krypteres den adgangskode, du indtaster, igen og sammenlignes med posten i filen, der gemmer dine adgangskoder. Hvis de matcher, skal det være den samme adgangskode, og du har adgang. Således kan en superbruger ændre min adgangskode, kan blokere min konto, men han kan aldrig se min adgangskode.
Så er hans bekymringer velbegrundede, eller vil en lille indsigt fjerne hans bekymring?
Svaret
SuperUser-bidragyder Zeel hjælper med at lægge sit sind på ro:
Kort svar: Nej *
Adgangskoder, der er gemt på din lokale maskine, kan dekrypteres af Chrome, så længe din OS-brugerkonto er logget ind. Og så kan du se dem i almindelig tekst. Først virker dette forfærdeligt, men hvordan troede du, at automatisk udfyldning fungerede? Når adgangskodefeltet udfyldes, skal Chrome indsætte den rigtige adgangskode i HTML-formularelementet - ellers fungerer siden ikke korrekt, og du kunne ikke indsende formularen. Og hvis forbindelsen til webstedet ikke er over HTTPS, sendes almindelig tekst derefter over internettet. Med andre ord, hvis krom ikke kan få adgangskoder til almindelig tekst, så er de helt ubrugelige. En envejs hash er ikke god, fordi vi har brug for dem.
Nu er adgangskoderne faktisk krypteret, den eneste måde at få dem tilbage til almindelig tekst er at have dekrypteringsnøglen. Denne nøgle er din Google-adgangskode eller en sekundær nøgle, du kan konfigurere. Når du logger ind på Chrome og synkroniserer, sender Google-serverne krypteret adgangskoder, indstillinger, bogmærker, automatisk udfyldning osv. til din lokale maskine. Her dekrypterer Chrome oplysningerne og kan bruge dem.
I Googles ende gemmes al den information i dens krypterede tilstand, og de har ikke nøglen til at dekryptere den. Din adgangskode til din konto kontrolleres mod en hash for at logge ind på Google, og selvom du lader krom huske det, er den krypterede version skjult i samme pakke som de andre adgangskoder, umulig at få adgang til. Så en medarbejder kunne sandsynligvis få fat i et dump af de krypterede data, men det ville ikke gøre dem noget godt, da de ikke havde nogen måde at bruge det på. *
Så nej, Google-medarbejdere kan ikke ** få adgang til dine adgangskoder, da de er krypteret på deres servere.
* Glem dog ikke, at ethvert system, som en autoriseret bruger har adgang til, kan få adgang til en uautoriseret bruger. Nogle systemer er lettere at bryde end andre, men ingen er fejlsikre. . . Når det er sagt, tror jeg, jeg vil stole på Google og de millioner, de bruger på sikkerhedssystemer, over enhver anden løsning til adgangskodelagring. Og pokker, jeg er en skør nørd, det ville være lettere at slå adgangskoderne ud af mig end at bryde Googles kryptering.
** Jeg antager også, at der ikke er en person, der tilfældigvis arbejder for Google, der får adgang til din lokale maskine. I så fald er du skruet, men beskæftigelse hos Google er faktisk ikke en faktor mere. Moral: Hit Vinde + L inden du forlader maskinen.
Mens vi er enige med zeel om, at det er en temmelig sikker indsats (så længe din computer ikke er kompromitteret), at dine adgangskoder faktisk er sikre, når de er gemt i Chrome, foretrækker vi at kryptere alle vores login og adgangskoder i en LastPass hvælving .
Har du noget at tilføje til forklaringen? Lyder i kommentarerne. Vil du læse flere svar fra andre teknisk kyndige Stack Exchange-brugere? Tjek den fulde diskussionstråd her .
