अपने वेब ब्राउज़र में अपने पासवर्ड को संग्रहीत करना एक महान समय बचाने जैसा लगता है, लेकिन क्या पासवर्ड सुरक्षित और दूसरों (यहां तक कि ब्राउज़र कंपनी के कर्मचारियों) के लिए दुर्गम होते हैं?
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है - स्टैक एक्सचेंज का एक उपखंड, जो कि क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।
प्रश्न
सुपर कर्मचारी रीडर MMA उत्सुक है यदि Google कर्मचारियों के पास Google Chrome में संग्रहीत पासवर्ड तक पहुंच (या हो सकती है):
मैं समझता हूं कि Google Chrome में आपके पासवर्ड सहेजने के लिए हम वास्तव में लुभा रहे हैं। संभावित लाभ दो गुना है,
- आपको उन लंबे और गूढ़ पासवर्डों को इनपुट (याद और) करने की आवश्यकता नहीं है।
- जब भी आप अपने Google खाते में लॉग इन करते हैं तो ये उपलब्ध होते हैं।
आखिरी बिंदु ने मेरे संदेह को जगा दिया। चूंकि पासवर्ड उपलब्ध है कहीं भी भंडारण कुछ केंद्रीय स्थान पर होना चाहिए, और यह Google पर होना चाहिए।
अब, मेरा सरल प्रश्न यह है कि क्या Google कर्मचारी मेरे पासवर्ड देख सकता है?
इंटरनेट पर खोज करने से कई लेख / संदेश सामने आए।
- क्या आप Chrome में पासवर्ड सहेजते हैं? शायद आपको पुनर्विचार करना चाहिए : आपके पासवर्ड की चोरी किसी ऐसे व्यक्ति द्वारा किए जाने की बात है जिसके पास आपके कंप्यूटर खाते की पहुंच है। केंद्रीय भंडारण सुरक्षा और भेद्यता के बारे में कुछ भी उल्लेख नहीं किया गया है। यहां तक कि पहले मुद्दे के बारे में क्रोम ब्राउज़र सुरक्षा टेक लीड की प्रतिक्रिया भी है।
- Chrome की पागल पासवर्ड सुरक्षा रणनीति : ज्यादातर एक ही लाइन के साथ। यदि आपके पास कंप्यूटर खाते तक पहुंच है, तो आप किसी से पासवर्ड चुरा सकते हैं।
- 5 सरल चरणों में Google Chrome में सहेजे गए पासवर्ड कैसे चोरी करें : आपको सिखाता है कि वास्तव में कैसा प्रदर्शन करना है कार्य पिछले दो में उल्लेख किया है जब आपके पास किसी और के खाते तक पहुंच है।
कई और भी हैं (सहित) यह वाला पर इस साइट ), ज्यादातर एक ही पंक्ति, अंक, प्रति-बिंदु, भारी बहस के साथ। मैं यहां उनका उल्लेख करने से बचता हूं, अगर आप उन्हें ढूंढना चाहते हैं तो बस एक खोज को आगे बढ़ाएं।
मेरी मूल क्वेरी पर वापस आते हुए, क्या Google कर्मचारी मेरा पासवर्ड देख सकता है? चूंकि मैं एक साधारण बटन का उपयोग करके पासवर्ड देख सकता हूं, निश्चित रूप से एन्क्रिप्ट किए जाने पर भी वे अनहैस्ड (डिक्रिप्ट) हो सकते हैं। यह यूनिक्स जैसे ओएस में सहेजे गए पासवर्ड से बहुत अलग है, जहाँ सहेजे गए पासवर्ड को सादे पाठ में कभी नहीं देखा जा सकता है।
वे एक तरफ़ा एन्क्रिप्शन एल्गोरिथ्म का उपयोग करते हैं अपने पासवर्ड को एन्क्रिप्ट करने के लिए। इस एन्क्रिप्टेड पासवर्ड को फिर पासवार्ड या शैडो फाइल में स्टोर किया जाता है। जब आप लॉगिन करने का प्रयास करते हैं, तो आपके द्वारा टाइप किया गया पासवर्ड फिर से एन्क्रिप्ट किया जाता है और आपके पासवर्ड को स्टोर करने वाली फ़ाइल में प्रविष्टि के साथ तुलना की जाती है। यदि वे मेल खाते हैं, तो यह एक ही पासवर्ड होना चाहिए, और आपको एक्सेस की अनुमति है। इस प्रकार, एक सुपरसिर मेरा पासवर्ड बदल सकता है, मेरा खाता ब्लॉक कर सकता है, लेकिन वह कभी भी मेरा पासवर्ड नहीं देख सकता है।
तो क्या उसकी चिंताओं को अच्छी तरह से स्थापित किया गया है या थोड़ी अंतर्दृष्टि उसकी चिंता को दूर कर देगी?
उत्तर
SuperUser योगदानकर्ता Zeel अपने मन को आसानी से लगाने में मदद करता है:
संक्षिप्त उत्तर: नहीं *
आपकी स्थानीय मशीन पर संग्रहीत पासवर्ड को क्रोम द्वारा डिक्रिप्ट किया जा सकता है, जब तक कि आपका ओएस उपयोगकर्ता खाता लॉग इन नहीं होता है। और फिर आप उन लोगों को सादे पाठ में देख सकते हैं। पहले तो यह भयानक लगता है, लेकिन आपने कैसे सोचा कि ऑटो-फिल काम किया है? जब वह पासवर्ड फ़ील्ड भर जाता है, तो क्रोम को वास्तविक पासवर्ड को HTML फॉर्म एलिमेंट में डालना होगा - या फिर पेज सही काम नहीं करेगा, और आप फॉर्म सबमिट नहीं कर सकते। और यदि वेबसाइट का कनेक्शन HTTPS से अधिक नहीं है, तो सादे पाठ को इंटरनेट पर भेजा जाता है। दूसरे शब्दों में, यदि क्रोम को सादे टेक्स्ट पासवर्ड नहीं मिल सकते हैं, तो वे पूरी तरह से बेकार हैं। एक तरह से हैश अच्छा नहीं है, क्योंकि हमें उनका उपयोग करने की आवश्यकता है।
अब पासवर्ड वास्तव में एन्क्रिप्ट किए गए हैं, उन्हें सादे पाठ में वापस लाने का एकमात्र तरीका डिक्रिप्शन कुंजी है। वह कुंजी आपका Google पासवर्ड या द्वितीयक कुंजी है जिसे आप सेट कर सकते हैं। जब आप Chrome में साइन इन करते हैं और Google सर्वर सिंक करते हैं, तो वह ट्रांसमिट हो जाएगा को गोपित पासवर्ड, सेटिंग्स, बुकमार्क, ऑटो-भरण, आदि आपकी स्थानीय मशीन पर। यहां Chrome जानकारी को डिक्रिप्ट करेगा और इसका उपयोग करने में सक्षम होगा।
Google के अंत में वह सभी जानकारी उसके गुप्त अवस्था में संग्रहीत है, और उनके पास इसे डिक्रिप्ट करने की कुंजी नहीं है। Google में लॉग इन करने के लिए आपके खाते के पासवर्ड को हैश के विरुद्ध जांचा जाता है, और यहां तक कि अगर आप क्रोम को इसे याद रखने देते हैं, तो एन्क्रिप्टेड संस्करण अन्य पासवर्ड के रूप में उसी बंडल में छिपा हुआ है, जिसका उपयोग करना असंभव है। इसलिए एक कर्मचारी शायद एन्क्रिप्ट किए गए डेटा का एक डंप पकड़ सकता है, लेकिन यह उन्हें किसी भी अच्छा नहीं करेगा, क्योंकि उनके पास इसका उपयोग करने का कोई तरीका नहीं होगा। *
इसलिए नहीं, Google कर्मचारी आपके पासवर्ड तक पहुंच नहीं सकते हैं, क्योंकि वे अपने सर्वर पर एन्क्रिप्टेड हैं।
* हालांकि, यह मत भूलो कि एक अधिकृत उपयोगकर्ता द्वारा एक्सेस की जा सकने वाली कोई भी प्रणाली अनधिकृत उपयोगकर्ता द्वारा एक्सेस की जा सकती है। कुछ सिस्टम अन्य की तुलना में आसान होते हैं, लेकिन कोई भी फेल-प्रूफ नहीं होता है। । । कहा जा रहा है, मुझे लगता है कि मैं Google और उन लाखों लोगों पर भरोसा करूंगा, जो किसी भी अन्य पासवर्ड भंडारण समाधान पर सुरक्षा प्रणालियों पर खर्च करते हैं। और हेक, मैं विम्पी नेर्ड हूं, Google के एन्क्रिप्शन को तोड़ने की तुलना में मेरे लिए पासवर्ड को हरा देना आसान होगा।
** मैं यह भी मान रहा हूं कि ऐसा कोई व्यक्ति नहीं है जो सिर्फ आपके स्थानीय मशीन तक Google की पहुँच प्राप्त करने के लिए काम करता है। उस स्थिति में आप खराब हो जाते हैं, लेकिन वास्तव में Google पर रोजगार किसी भी अधिक कारक नहीं है। नैतिक: हिट जीत + एल मशीन छोड़ने से पहले।
हालांकि हम इस बात से सहमत हैं कि यह एक बहुत ही सुरक्षित शर्त है (जब तक आपका कंप्यूटर समझौता नहीं किया जाता है) क्रोम में संग्रहीत होने पर आपके पासवर्ड वास्तव में सुरक्षित हैं, हम अपने सभी लॉगिन और पासवर्ड को एन्क्रिप्ट करना पसंद करते हैं लास्टपास वॉल्ट .
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक जवाब पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें .
