Jelszavainak webböngészőben történő tárolása nagyszerű időmegtakarításnak tűnik, de a jelszavak biztonságosak és mások (még a böngésző cég alkalmazottai) számára is hozzáférhetetlenek, amikor elcsavarodnak?
A mai Kérdések és válaszok ülés a SuperUser jóvoltából érkezik hozzánk - a Stack Exchange alosztályához, amely a Q & A webhelyek közösségvezérelt csoportosulása.
A kérdés
A SuperUser olvasó MMA kíváncsi arra, hogy a Google munkatársai hozzáférnek-e (vagy hozzáférhetnek-e) az általa a Google Chrome-ban tárolt jelszavakhoz:
Megértettem, hogy valóban kísértésbe esünk a jelszavak mentésével a Google Chrome-ba. A várható előny kétszeres,
- Nem kell (megjegyeznie és beírnia) ezeket a hosszú és rejtélyes jelszavakat.
- Ezek bárhol elérhetők, ha bejelentkezik Google-fiókjába.
Az utolsó pont felkeltette a kételyemet. Mivel a jelszó elérhető bárhol , a tárolónak valamilyen központi helyen kell lennie, és ennek a Google-nál kell lennie.
Most az az egyszerű kérdésem, hogy egy Google alkalmazott láthatja-e a jelszavamat?
Az internetes keresés több cikket / üzenetet tárt fel.
- Menti a jelszavakat a Chrome-ba? Talán át kellene gondolnia : Beszél arról, hogy a jelszavakat ellopja valaki, aki hozzáfér a számítógép fiókjához. Semmi sem említésre kerül a központi tároló biztonságáról és sebezhetőségéről. Még az első kérdéssel kapcsolatban válasz érkezik a Chrome böngésző biztonsági technológiai vezetőjétől.
- A Chrome őrült jelszóval kapcsolatos biztonsági stratégiája : Többnyire ugyanazon a vonalon. Ellophatja a jelszavát valakitől, ha rendelkezik hozzáféréssel a számítógépfiókhoz.
- A Google Chrome-ba mentett jelszavak ellopása 5 egyszerű lépésben : Megtanítja, hogyan kell a törvény az előző kettőben említett, amikor hozzáfér valaki más fiókjához.
Sokkal többen vannak (beleértve ezt nál nél ez az oldal ), többnyire ugyanazon a vonalon, pontok, ellenpontok, hatalmas viták. Tartózkodom attól, hogy itt említsem őket, egyszerűen végezzen keresést, ha meg akarja találni őket.
Visszatérve az eredeti lekérdezésemre, láthatja a Google alkalmazottja a jelszavamat? Mivel egy egyszerű gombbal meg tudom tekinteni a jelszót, mindenképpen titkosítás nélkül is sértetlenek lehetnek (visszafejthetők). Ez nagyon különbözik a Unix-szerű operációs rendszerekhez mentett jelszavaktól, ahol a mentett jelszó soha nem látható egyszerű szövegben.
Egyirányú titkosítási algoritmust használnak a jelszavak titkosításához. Ezt a titkosított jelszót ezután a passwd vagy az árnyékfájl tárolja. Amikor megpróbál bejelentkezni, a beírt jelszót újra titkosítják, és összehasonlítják a jelszavakat tároló fájl bejegyzésével. Ha egyeznek, akkor annak azonos jelszónak kell lennie, és Ön hozzáférhet a hozzáféréshez. Így a superuser megváltoztathatja a jelszavamat, letilthatja a fiókomat, de soha nem láthatja a jelszavamat.
Tehát megalapozott-e az aggodalma, vagy egy kis belátás eloszlatja-e aggodalmát?
A válasz
A SuperUser közreműködője, Zeel segít a tudat nyugodtabbá tételében:
Rövid válasz: Nem *
A helyi gépen tárolt jelszavakat a Chrome visszafejtheti, amennyiben az operációs rendszer felhasználói fiókja be van jelentkezve. Ezután egyszerű szövegben is megtekintheti azokat. Eleinte ez borzalmasnak tűnik, de hogyan gondolta, hogy működik az automatikus kitöltés? Amikor kitölti ezt a jelszómezőt, a Chrome-nak be kell illesztenie a valódi jelszót a HTML-űrlap elembe - különben az oldal nem működne megfelelően, és nem tudta elküldeni az űrlapot. Ha pedig a webhelyhez való kapcsolódás nem HTTPS-en keresztül történik, akkor a sima szöveget az interneten keresztül küldjük el. Más szóval, ha a chrome nem tudja megszerezni az egyszerű szöveges jelszavakat, akkor azok teljesen haszontalanok. Az egyirányú hash nem jó, mert használnunk kell őket.
Most a jelszavak valójában titkosítva vannak, az egyszerű szöveg visszaállításának egyetlen módja a visszafejtési kulcs. Ez a kulcs a Google-jelszava, vagy egy másodlagos kulcs, amelyet beállíthat. Amikor bejelentkezik a Chrome-ba és szinkronizálja, a Google szerverei továbbítják a titkosítva jelszavakat, beállításokat, könyvjelzőket, automatikus kitöltést stb. a helyi gépre. A Chrome itt dekódolja az információkat és felhasználhatja azokat.
A Google végén az összes információt titkosított állapotban tárolják, és nincs kulcsuk a visszafejtéshez. Fiókjának jelszavát ellenőrzik a Google-ba történő bejelentkezéshez használt kivonat ellenében, és még ha hagyja is, hogy a chrome emlékezzen rá, a titkosított verzió ugyanabban a csomagban van elrejtve, mint a többi jelszó, és amelyhez nem lehet hozzáférni. Tehát egy alkalmazott valószínűleg megfoghat egy titkosított adatot, de ez nem tesz jót nekik, mivel nem tudnák felhasználni őket. *
Tehát nem, a Google alkalmazottai nem férhetnek hozzá ** a jelszavakhoz, mivel titkosítva vannak a szervereiken.
* Ne felejtsük el azonban, hogy minden olyan rendszerhez, amelyhez jogosult felhasználó férhet hozzá, illetéktelen felhasználó is hozzáférhet. Egyes rendszereket könnyebb megtörni, mint másokat, de egyik sem hibabiztos. . . Ennek ellenére azt hiszem, hogy bízni fogok a Google-ben és azokban a milliókban, amelyeket a biztonsági rendszerekre költenek, bármilyen más jelszó-tárolási megoldás felett. És a fene egy furfangos majom vagyok, könnyebb lenne elverni belőlem a jelszavakat, mint megtörni a Google titkosítását.
** Azt is feltételezem, hogy nincs olyan ember, aki véletlenül a Google-nál dolgozik, és hozzáférne az Ön helyi gépéhez. Ebben az esetben elcseszett, de a Google-nál való foglalkoztatás valójában már nem tényező. Erkölcs: Hit Győzelem + L mielőtt elhagyná a gépet.
Noha egyetértünk azzal a véleményünkkel, hogy meglehetősen biztonságos fogadás (mindaddig, amíg a számítógép nem sérül), hogy a jelszavak valóban biztonságban vannak, amíg a Chrome-ban tárolódnak, inkább az összes bejelentkezési nevünket és jelszavunkat LastPass boltozat .
Van valami hozzáfűzhető a magyarázathoz? Hangzik el a megjegyzésekben. Szeretne további válaszokat olvasni más, hozzáértő Stack Exchange-felhasználóktól? Nézze meg a teljes vitafonalat itt .
