Salasanojen tallentaminen verkkoselaimessa vaikuttaa hyvältä ajansäästäjältä, mutta ovatko salasanat turvallisia ja muiden (jopa selainyhtiön työntekijöiden) ulottumattomissa, kun ne oravat?
Tämän päivän Kysymys- ja vastausistunto tulee meille SuperUser-yhteisöstään, joka on Stack Exchangen osasto.
Kysymys
SuperUser-lukijan MMA on utelias, jos Googlen työntekijöillä on (tai voisi olla) pääsy Google Chromessa tallentamiinsa salasanoihin:
Ymmärrän, että meillä on todella houkutus tallentaa salasanasi Google Chromeen. Todennäköinen hyöty on kaksinkertainen,
- Sinun ei tarvitse (muistaa ja) syöttää näitä pitkiä ja salaisia salasanoja.
- Nämä ovat käytettävissä missä tahansa, kun kirjaudut sisään Google-tiliisi.
Viimeinen kohta herätti epäilykseni. Koska salasana on käytettävissä missä tahansa , tallennustilan on oltava jossakin keskeisessä paikassa, ja tämän pitäisi olla Googlessa.
Nyt yksinkertainen kysymykseni on, näkevätkö Googlen työntekijät salasanani?
Internetissä etsiminen paljasti useita artikkeleita / viestejä.
- Tallennatko salasanoja Chromeen? Ehkä sinun pitäisi harkita uudelleen : Puhuu siitä, että salasanasi varastaa joku, jolla on pääsy tietokoneesi tilille. Mitään ei mainita keskitetyn tallennustilan turvallisuudesta ja haavoittuvuudesta. Chrome-selaimen tietoturvateknologia on saanut vastauksen ensimmäiseen ongelmaan.
- Chromen hullu salasanasuojausstrategia : Enimmäkseen samaa linjaa. Voit varastaa salasanan joltakin, jos sinulla on pääsy tietokonetiliin.
- Kuinka varastaa Google Chromeen tallennettuja salasanoja viidessä yksinkertaisessa vaiheessa : Opettaa kuinka todella suorittaa toimia mainitaan kahdessa edellisessä, kun sinulla on pääsy jonkun muun tilille.
Niitä on paljon enemmän (mukaan lukien Tämä klo tällä sivustolla ), lähinnä samaa linjaa pitkin, pisteitä, vastapisteitä, valtavia keskusteluja. En aio mainita niitä täällä, tee vain haku, jos haluat löytää ne.
Palatakseni alkuperäiseen kyselyni, voiko Googlen työntekijä nähdä salasanani? Koska voin tarkastella salasanaa yksinkertaisella painikkeella, ne voidaan ehdottomasti poistaa (purkaa), vaikka ne olisi salattu. Tämä eroaa suuresti salasanoista, jotka on tallennettu Unix-tyyppisiin käyttöjärjestelmiin, joissa tallennettu salasana ei koskaan näy pelkkänä tekstinä.
He käyttävät yksisuuntaista salausalgoritmia salata salasanasi. Tämä salattu salasana tallennetaan sitten passwd- tai shadow-tiedostoon. Kun yrität kirjautua sisään, kirjoittamasi salasana salataan uudelleen ja verrataan salasanasi tallentavan tiedoston merkintään. Jos ne sopivat yhteen, sen on oltava sama salasana, ja sinulla on käyttöoikeus. Siksi pääkäyttäjä voi vaihtaa salasanani, voi estää tilini, mutta hän ei koskaan näe salasanaani.
Joten ovatko hänen huolensa perusteltuja vai hajottaako pieni oivallus hänen huolensa?
Vastaus
SuperUser-avustaja Zeel auttaa mielensä rauhoittamisessa:
Lyhyt vastaus: Ei *
Chrome voi purkaa paikalliselle koneellesi tallennetut salasanat, kunhan käyttöjärjestelmän käyttäjätili on kirjautunut sisään. Ja sitten voit tarkastella niitä pelkkänä tekstinä. Aluksi tämä tuntuu kauhealta, mutta kuinka luulit automaattisen täytön toimivan? Kun kyseinen salasanakenttä täytetään, Chromen on lisättävä oikea salasana HTML-lomakelementtiin - muuten sivu ei toimi oikein, etkä voinut lähettää lomaketta. Ja jos yhteys verkkosivustoon ei ole HTTPS: n kautta, pelkkä teksti lähetetään sitten Internetin kautta. Toisin sanoen, jos kromi ei pysty saamaan pelkkää tekstiä sisältäviä salasanoja, ne ovat täysin hyödyttömiä. Yksi tapa hash ei ole hyvä, koska meidän on käytettävä niitä.
Nyt salasanat on tosiasiallisesti salattu, ainoa tapa saada ne takaisin pelkkään tekstiin on saada salauksen avain. Tämä avain on Google-salasanasi tai toissijainen avain, jonka voit määrittää. Kun kirjaudut Chromeen ja synkronoit, Google-palvelimet lähettävät salattu salasanat, asetukset, kirjanmerkit, automaattinen täyttö jne. paikalliselle koneellesi. Täällä Chrome purkaa tiedot ja pystyy käyttämään niitä.
Googlen lopussa kaikki kyseiset tiedot tallennetaan salatussa tilassa, eikä heillä ole avainta sen salauksen purkamiseen. Tilisi salasanaa tarkistetaan hashilla, jotta kirjaudutaan sisään Googleen, ja vaikka annat kromin muistaa sen, salattu versio on piilotettu samassa paketissa kuin muut salasanat, jota ei voida käyttää. Joten työntekijä voisi todennäköisesti napata salatun datan, mutta se ei tee heille mitään hyvää, koska heillä ei ole tapaa käyttää sitä. *
Joten ei, Googlen työntekijät eivät voi ** käyttää salasanojasi, koska ne on salattu palvelimillaan.
* Älä kuitenkaan unohda, että luvaton käyttäjä voi käyttää kaikkia järjestelmiä, joihin valtuutettu käyttäjä voi päästä. Joitakin järjestelmiä on helpompi rikkoa kuin muita, mutta yksikään ei ole vikaantumisaika. . . Tästä huolimatta luulen, että luotan Googleen ja miljooniin, jotka he käyttävät turvajärjestelmiin, muihin salasanojen tallennusratkaisuihin nähden. Ja hitto, olen huono nörtti, olisi helpompaa voittaa salasanat minusta kuin rikkoa Googlen salausta.
** Oletan myös, että yksikään henkilö, joka sattuu työskentelemään Googlen palveluksessa, saa pääsyn paikalliseen koneeseesi. Siinä tapauksessa olet epävarma, mutta Googlen työllistyminen ei todellakaan ole enää tekijä. Moraali: osuma Voittaa + L ennen kuin poistut koneesta.
Vaikka olemme samaa mieltä zeelin kanssa siitä, että on melko turvallinen veto (kunhan tietokoneesi ei vaarannu), että salasanasi ovat todella turvallisia, kun ne tallennetaan Chromeen, mieluummin salataan kaikki kirjautumistunnuksemme ja salasanamme LastPass-holvi .
Onko sinulla jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta teknisesti taitavilta Stack Exchangen käyttäjiltä? Katso koko keskusteluketju täältä .
