Das Speichern Ihrer Passwörter in Ihrem Webbrowser scheint eine große Zeitersparnis zu sein. Sind die Passwörter jedoch sicher und für andere (auch für Mitarbeiter des Browserunternehmens) unzugänglich, wenn sie entfernt werden?
Die heutige Frage-Antwort-Sitzung wird uns mit freundlicher Genehmigung von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites.
Die Frage
SuperUser Reader MMA ist neugierig, ob Google-Mitarbeiter Zugriff auf die in Google Chrome gespeicherten Passwörter haben (oder haben könnten):
Ich verstehe, dass wir wirklich versucht sind, Ihre Passwörter in Google Chrome zu speichern. Der wahrscheinliche Vorteil ist zweifach,
- Sie müssen diese langen und kryptischen Passwörter nicht auswendig lernen und eingeben.
- Diese sind überall verfügbar, sobald Sie sich in Ihrem Google-Konto angemeldet haben.
Der letzte Punkt löste meine Zweifel aus. Da ist das Passwort verfügbar irgendwo muss sich der Speicher an einem zentralen Ort befinden, und dieser sollte bei Google sein.
Meine einfache Frage lautet nun: Kann ein Google-Mitarbeiter meine Passwörter sehen?
Die Suche über das Internet ergab mehrere Artikel / Nachrichten.
- Speichern Sie Passwörter in Chrome? Vielleicht sollten Sie es sich noch einmal überlegen : Spricht darüber, dass Ihre Passwörter von jemandem gestohlen wurden, der Zugriff auf Ihr Computerkonto hat. Über die Sicherheit und Sicherheitslücke des zentralen Speichers wurde nichts erwähnt. Es gibt sogar eine Antwort des Sicherheitschefs des Chrome-Browsers zum ersten Problem.
- Die verrückte Passwortsicherheitsstrategie von Chrome : Meistens in der gleichen Richtung. Sie können jemandem ein Passwort stehlen, wenn Sie Zugriff auf das Computerkonto haben.
- So stehlen Sie in Google Chrome gespeicherte Passwörter in 5 einfachen Schritten : Bringt Ihnen bei, wie man das tatsächlich durchführt Handlung in den beiden vorherigen erwähnt, wenn Sie Zugriff auf das Konto eines anderen Benutzers haben.
Es gibt viele mehr (einschließlich dieses beim Diese Seite ), meist auf der gleichen Linie, Punkte, Gegenpunkte, große Debatten. Ich erwähne sie hier nicht, führe einfach eine Suche durch, wenn du sie finden willst.
Kann ein Google-Mitarbeiter mein Passwort sehen, wenn er zu meiner ursprünglichen Abfrage zurückkehrt? Da ich das Passwort mit einer einfachen Schaltfläche anzeigen kann, können sie definitiv entschlüsselt (entschlüsselt) werden, selbst wenn sie verschlüsselt sind. Dies unterscheidet sich stark von den in Unix-ähnlichen Betriebssystemen gespeicherten Passwörtern, bei denen das gespeicherte Passwort niemals im Klartext angezeigt wird.
Sie verwenden einen Einweg-Verschlüsselungsalgorithmus um Ihre Passwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der Passwd- oder Shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es sich um dasselbe Kennwort handeln, und Sie dürfen darauf zugreifen. So kann ein Superuser mein Passwort ändern, mein Konto sperren, aber er kann mein Passwort nie sehen.
Sind seine Bedenken also begründet oder wird ein kleiner Einblick seine Sorgen zerstreuen?
Die Antwort
Der SuperUser-Mitarbeiter Zeel beruhigt ihn:
Kurze Antwort: Nein *
Auf Ihrem lokalen Computer gespeicherte Kennwörter können von Chrome entschlüsselt werden, solange Ihr Betriebssystembenutzerkonto angemeldet ist. Anschließend können Sie diese im Klartext anzeigen. Das scheint zunächst schrecklich, aber wie hat das automatische Ausfüllen Ihrer Meinung nach funktioniert? Wenn dieses Kennwortfeld ausgefüllt wird, muss Chrome das echte Kennwort in das HTML-Formularelement einfügen. Andernfalls funktioniert die Seite nicht richtig und Sie können das Formular nicht senden. Und wenn die Verbindung zur Website nicht über HTTPS hergestellt wird, wird der Klartext über das Internet gesendet. Mit anderen Worten, wenn Chrome die Nur-Text-Passwörter nicht erhalten kann, sind sie völlig nutzlos. Ein One-Way-Hash ist nicht gut, weil wir sie verwenden müssen.
Jetzt sind die Passwörter tatsächlich verschlüsselt. Die einzige Möglichkeit, sie wieder in Klartext umzuwandeln, besteht darin, den Entschlüsselungsschlüssel zu haben. Dieser Schlüssel ist Ihr Google-Passwort oder ein Sekundärschlüssel, den Sie einrichten können. Wenn Sie sich bei Chrome anmelden und synchronisieren, übertragen die Google-Server das verschlüsselt Passwörter, Einstellungen, Lesezeichen, automatisches Ausfüllen usw. auf Ihrem lokalen Computer. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.
Am Ende von Google werden alle diese Informationen in ihrem verschlüsselten Zustand gespeichert und sie haben nicht den Schlüssel, um sie zu entschlüsseln. Ihr Kontokennwort wird anhand eines Hashs überprüft, um sich bei Google anzumelden. Selbst wenn Sie Chrome daran erinnern, ist diese verschlüsselte Version im selben Bundle wie die anderen Kennwörter versteckt und nicht zugänglich. Ein Mitarbeiter könnte also wahrscheinlich einen Speicherauszug der verschlüsselten Daten abrufen, aber es würde ihnen nichts nützen, da sie keine Möglichkeit hätten, sie zu verwenden. *
Nein, Google-Mitarbeiter können nicht auf Ihre Passwörter zugreifen, da sie auf ihren Servern verschlüsselt sind.
* Vergessen Sie jedoch nicht, dass auf jedes System, auf das ein autorisierter Benutzer zugreifen kann, ein nicht autorisierter Benutzer zugreifen kann. Einige Systeme sind leichter zu brechen als andere, aber keines ist ausfallsicher. . . Abgesehen davon denke ich, dass ich Google und den Millionen, die sie für Sicherheitssysteme ausgeben, gegenüber jeder anderen Passwortspeicherlösung vertrauen werde. Und zum Teufel, ich bin ein schwacher Nerd. Es wäre einfacher, die Passwörter aus mir herauszuholen, als die Google-Verschlüsselung zu brechen.
** Ich gehe auch davon aus, dass es keine Person gibt, die zufällig für Google arbeitet und Zugriff auf Ihren lokalen Computer erhält. In diesem Fall sind Sie fertig, aber die Beschäftigung bei Google spielt eigentlich keine Rolle mehr. Moral: Hit Sieg + L. vor dem Verlassen der Maschine.
Obwohl wir mit zeel einverstanden sind, dass es eine ziemlich sichere Wette ist (solange Ihr Computer nicht gefährdet ist), dass Ihre Passwörter tatsächlich sicher sind, während sie in Chrome gespeichert sind, ziehen wir es vor, alle unsere Anmeldungen und Passwörter in a zu verschlüsseln LastPass-Tresor .
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier .
