Η αποθήκευση των κωδικών πρόσβασής σας στο πρόγραμμα περιήγησης ιστού σας φαίνεται σαν μια εξαιρετική εξοικονόμηση χρόνου, αλλά οι κωδικοί πρόσβασης είναι ασφαλείς και απρόσιτοι σε άλλους (ακόμη και υπαλλήλους της εταιρείας περιήγησης) όταν σκουριάζουν;
Η σημερινή συνεδρία Ερωτήσεων & Απαντήσεων μας προσφέρει ευγενική προσφορά του SuperUser - μια υποδιαίρεση του Stack Exchange, μιας ομάδας ιστότοπων Q&A που βασίζεται στην κοινότητα.
Το ερώτημα
Ο αναγνώστης SuperUser MMA είναι περίεργος εάν οι υπάλληλοι της Google έχουν (ή θα μπορούσαν) να έχουν πρόσβαση στους κωδικούς πρόσβασης που αποθηκεύει στο Google Chrome:
Κατανοώ ότι είμαστε στον πειρασμό να αποθηκεύσουμε τους κωδικούς πρόσβασής σας στο Google Chrome. Το πιθανό όφελος είναι δύο φορές,
- Δεν χρειάζεται να (απομνημονεύσετε και) να εισαγάγετε αυτούς τους μεγάλους και κρυφούς κωδικούς πρόσβασης.
- Αυτά είναι διαθέσιμα όπου κι αν βρίσκεστε όταν συνδεθείτε στον Λογαριασμό σας Google.
Το τελευταίο σημείο προκάλεσε την αμφιβολία μου. Δεδομένου ότι ο κωδικός πρόσβασης είναι διαθέσιμος οπουδήποτε , ο αποθηκευτικός χώρος πρέπει να βρίσκεται σε κάποια κεντρική τοποθεσία και αυτό πρέπει να βρίσκεται στο Google.
Τώρα, η απλή ερώτησή μου είναι, μπορεί ένας υπάλληλος της Google να δει τους κωδικούς μου;
Η αναζήτηση μέσω Διαδικτύου αποκάλυψε διάφορα άρθρα / μηνύματα.
- Αποθηκεύετε κωδικούς πρόσβασης στο Chrome; Ίσως πρέπει να επανεξετάσετε : Συζητά για την κλοπή των κωδικών πρόσβασής σας από κάποιον που έχει πρόσβαση στον λογαριασμό του υπολογιστή σας. Δεν αναφέρεται τίποτα για την κεντρική ασφάλεια και την ευπάθεια του χώρου αποθήκευσης. Υπάρχει ακόμη και μια απάντηση από τον υπεύθυνο τεχνολογίας ασφαλείας του προγράμματος περιήγησης Chrome για το πρώτο ζήτημα.
- Η τρελή στρατηγική ασφάλειας του κωδικού πρόσβασης του Chrome : Κυρίως στην ίδια γραμμή. Μπορείτε να κλέψετε κωδικό πρόσβασης από κάποιον εάν έχετε πρόσβαση στον λογαριασμό υπολογιστή.
- Πώς να κλέψετε κωδικούς πρόσβασης που έχουν αποθηκευτεί στο Google Chrome σε 5 απλά βήματα : Σας διδάσκει πώς να εκτελέσετε πραγματικά το υποκρίνομαι αναφέρεται στα προηγούμενα δύο όταν έχετε πρόσβαση στον λογαριασμό κάποιου άλλου.
Υπάρχουν πολλά περισσότερα (συμπεριλαμβανομένων αυτό στο αυτό το μέρος ), κυρίως στην ίδια γραμμή, σημεία, αντίθετα σημεία, τεράστιες συζητήσεις. Αποφεύγω να τα αναφέρω εδώ, απλώς πραγματοποιήστε αναζήτηση αν θέλετε να τα βρείτε.
Επιστρέφοντας στο αρχικό ερώτημά μου, μπορεί ένας υπάλληλος της Google να δει τον κωδικό πρόσβασής μου; Δεδομένου ότι μπορώ να δω τον κωδικό πρόσβασης χρησιμοποιώντας ένα απλό κουμπί, σίγουρα μπορεί να ξεκαθαριστεί (αποκρυπτογραφημένο) ακόμη και αν είναι κρυπτογραφημένο. Αυτό είναι πολύ διαφορετικό από τους κωδικούς πρόσβασης που έχουν αποθηκευτεί σε λειτουργικά συστήματα τύπου Unix, όπου ο αποθηκευμένος κωδικός πρόσβασης δεν μπορεί να δει ποτέ σε απλό κείμενο.
Χρησιμοποιούν έναν μονόδρομο αλγόριθμο κρυπτογράφησης για να κρυπτογραφήσετε τους κωδικούς πρόσβασής σας. Αυτός ο κρυπτογραφημένος κωδικός πρόσβασης στη συνέχεια αποθηκεύεται στο αρχείο passwd ή shadow. Όταν προσπαθείτε να συνδεθείτε, ο κωδικός πρόσβασης που πληκτρολογείτε κρυπτογραφείται ξανά και συγκρίνεται με την καταχώριση στο αρχείο που αποθηκεύει τους κωδικούς πρόσβασής σας. Εάν ταιριάζουν, πρέπει να είναι ο ίδιος κωδικός πρόσβασης και σας επιτρέπεται η πρόσβαση. Έτσι, ένας υπερχρήστης μπορεί να αλλάξει τον κωδικό πρόσβασής μου, να αποκλείσει τον λογαριασμό μου, αλλά δεν μπορεί ποτέ να δει τον κωδικό πρόσβασής μου.
Λοιπόν, οι ανησυχίες του είναι βάσιμες ή μια μικρή διορατικότητα θα διαλύσει την ανησυχία του;
Η απάντηση
Ο συνεισφέρων του SuperUser, Zeel, βοηθάει να καθησυχάσει το μυαλό του:
Σύντομη απάντηση: Όχι *
Οι κωδικοί πρόσβασης που είναι αποθηκευμένοι στο τοπικό μηχάνημά σας μπορούν να αποκρυπτογραφηθούν από το Chrome, αρκεί ο λογαριασμός χρήστη OS να είναι συνδεδεμένος. Στη συνέχεια, μπορείτε να τους δείτε σε απλό κείμενο. Στην αρχή αυτό φαίνεται φρικτό, αλλά πώς νομίζατε ότι η αυτόματη συμπλήρωση λειτουργούσε; Όταν συμπληρωθεί αυτό το πεδίο κωδικού πρόσβασης, το Chrome πρέπει να εισαγάγει τον πραγματικό κωδικό πρόσβασης στο στοιχείο φόρμας HTML - αλλιώς η σελίδα δεν θα λειτουργεί σωστά και δεν θα μπορούσατε να υποβάλετε τη φόρμα. Και εάν η σύνδεση με τον ιστότοπο δεν είναι μέσω HTTPS, τότε το απλό κείμενο αποστέλλεται μέσω του Διαδικτύου. Με άλλα λόγια, εάν το chrome δεν μπορεί να λάβει τους κωδικούς πρόσβασης απλού κειμένου, τότε είναι εντελώς άχρηστοι. Το μονόδρομο κατακερματισμό δεν είναι καλό, γιατί πρέπει να τα χρησιμοποιήσουμε.
Τώρα οι κωδικοί πρόσβασης είναι στην πραγματικότητα κρυπτογραφημένοι, ο μόνος τρόπος για να τους επαναφέρετε σε απλό κείμενο είναι να έχετε το κλειδί αποκρυπτογράφησης. Αυτό το κλειδί είναι ο κωδικός πρόσβασης Google ή ένα δευτερεύον κλειδί που μπορείτε να ρυθμίσετε. Όταν συνδεθείτε στο Chrome και συγχρονίσετε, οι διακομιστές Google θα μεταδώσουν το κρυπτογραφημένο κωδικοί πρόσβασης, ρυθμίσεις, σελιδοδείκτες, αυτόματη συμπλήρωση κ.λπ. στον τοπικό υπολογιστή σας. Εδώ το Chrome θα αποκρυπτογραφήσει τις πληροφορίες και θα μπορεί να τις χρησιμοποιήσει.
Στο τέλος της Google, όλες αυτές οι πληροφορίες αποθηκεύονται σε κρυπτογραφημένη κατάσταση και δεν έχουν το κλειδί για την αποκρυπτογράφηση. Ο κωδικός πρόσβασης του λογαριασμού σας ελέγχεται έναντι κατακερματισμού για σύνδεση στο Google και ακόμη και αν το θυμάστε το Chrome, αυτή η κρυπτογραφημένη έκδοση κρύβεται στην ίδια δέσμη με τους άλλους κωδικούς πρόσβασης, που είναι αδύνατη η πρόσβαση. Έτσι, ένας υπάλληλος θα μπορούσε πιθανότατα να πάρει μια απόρριψη των κρυπτογραφημένων δεδομένων, αλλά δεν θα τους έκανε καλό, αφού δεν θα είχαν τρόπο να τα χρησιμοποιήσουν.
Οπότε όχι, οι υπάλληλοι της Google δεν μπορούν ** να αποκτήσουν πρόσβαση στους κωδικούς πρόσβασής σας, καθώς είναι κρυπτογραφημένοι στους διακομιστές τους.
* Ωστόσο, μην ξεχνάτε ότι οποιοδήποτε σύστημα στο οποίο μπορεί να προσπελαστεί ένας εξουσιοδοτημένος χρήστης μπορεί να έχει πρόσβαση από έναν μη εξουσιοδοτημένο χρήστη. Ορισμένα συστήματα είναι πιο εύκολο να σπάσουν από άλλα, αλλά κανένα δεν είναι αδιάβροχο. . . Τούτου λεχθέντος, νομίζω ότι θα εμπιστευτώ την Google και τα εκατομμύρια που ξοδεύουν σε συστήματα ασφαλείας, σε σχέση με οποιαδήποτε άλλη λύση αποθήκευσης κωδικού πρόσβασης. Και χαίρομαι, είμαι ένας τρελός nerd, θα ήταν πιο εύκολο να ξεχάσω τους κωδικούς πρόσβασης από το να σπάσω την κρυπτογράφηση της Google.
** Υποθέτω επίσης ότι δεν υπάρχει κάποιο άτομο που τυχαίνει να εργάζεται για το Google αποκτώντας πρόσβαση στον τοπικό υπολογιστή σας. Σε αυτήν την περίπτωση είστε βλακωμένοι, αλλά η απασχόληση στην Google δεν αποτελεί πλέον παράγοντα. Ηθικό: Hit Νίκη + μεγάλο πριν φύγετε από το μηχάνημα.
Ενώ συμφωνούμε με το zeel ότι είναι ένα αρκετά ασφαλές στοίχημα (εφόσον ο υπολογιστής σας δεν έχει παραβιαστεί) ότι οι κωδικοί πρόσβασης είναι στην πραγματικότητα ασφαλείς ενώ αποθηκεύονται στο Chrome, προτιμούμε να κρυπτογραφούμε όλα τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασης σε ένα Θυρίδα ασφαλείας LastPass .
Έχετε κάτι να προσθέσετε στην εξήγηση; Ακούστε στα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange; Δείτε ολόκληρο το νήμα συζήτησης εδώ .
