Menyimpan kata sandi Anda di browser web Anda sepertinya menghemat waktu, tetapi apakah kata sandi itu aman dan tidak dapat diakses oleh orang lain (bahkan karyawan perusahaan browser) ketika ditipu?
Sesi Tanya & Jawab hari ini hadir atas kebaikan SuperUser — subdivisi Stack Exchange, pengelompokan situs web Tanya Jawab berbasis komunitas.
Pertanyaan
Pembaca SuperUser MMA ingin tahu apakah karyawan Google memiliki (atau mungkin memiliki) akses ke sandi yang dia simpan di Google Chrome:
Saya memahami bahwa kami sangat tergoda untuk menyimpan sandi Anda di Google Chrome. Manfaat yang mungkin didapat adalah dua kali lipat,
- Anda tidak perlu (menghafal dan) memasukkan sandi yang panjang dan samar itu.
- Ini tersedia di mana pun Anda berada setelah Anda masuk ke akun Google Anda.
Hal terakhir memicu keraguan saya. Karena kata sandi tersedia dimana saja , penyimpanan harus di beberapa lokasi pusat, dan ini harus di Google.
Sekarang, pertanyaan sederhana saya adalah, dapatkah karyawan Google melihat sandi saya?
Pencarian melalui Internet mengungkapkan beberapa artikel / pesan.
- Apakah Anda menyimpan sandi di Chrome? Mungkin Anda harus mempertimbangkan kembali : Membicarakan tentang sandi Anda yang dicuri oleh seseorang yang memiliki akses ke akun komputer Anda. Tidak ada yang disebutkan tentang keamanan dan kerentanan penyimpanan pusat. Bahkan ada tanggapan dari pimpinan teknis keamanan browser Chrome tentang masalah pertama.
- Strategi keamanan sandi Chrome yang gila : Sebagian besar di sepanjang garis yang sama. Anda dapat mencuri kata sandi dari seseorang jika Anda memiliki akses ke akun komputer.
- Cara Mencuri Kata Sandi yang Tersimpan di Google Chrome dalam 5 Langkah Sederhana : Mengajari Anda cara melakukan file bertindak disebutkan di dua sebelumnya saat Anda memiliki akses ke akun orang lain.
Masih banyak lagi (termasuk yang ini di situs ini ), sebagian besar di sepanjang garis, poin, poin tandingan, debat besar yang sama. Saya menahan diri untuk tidak menyebutkannya di sini, cukup lakukan pencarian jika Anda ingin menemukannya.
Kembali ke pertanyaan awal saya, dapatkah karyawan Google melihat sandi saya? Karena saya dapat melihat kata sandi dengan menggunakan tombol sederhana, pasti kata sandi tersebut dapat di-unhash (didekripsi) bahkan jika dienkripsi. Ini sangat berbeda dari kata sandi yang disimpan di OS mirip Unix di mana kata sandi yang disimpan tidak pernah dapat dilihat dalam teks biasa.
Mereka menggunakan algoritma enkripsi satu arah untuk mengenkripsi kata sandi Anda. Kata sandi terenkripsi ini kemudian disimpan di file passwd atau shadow. Saat Anda mencoba masuk, kata sandi yang Anda ketikkan dienkripsi lagi dan dibandingkan dengan entri di file yang menyimpan kata sandi Anda. Jika cocok, kata sandi itu harus sama, dan Anda diizinkan mengakses. Jadi, superuser dapat mengubah sandi saya, dapat memblokir akun saya, tetapi dia tidak pernah dapat melihat sandi saya.
Jadi, apakah kekhawatirannya beralasan atau akankah sedikit pemahaman menghilangkan kekhawatirannya?
Jawabannya
Kontributor SuperUser, Zeel, membantu menenangkan pikirannya:
Jawaban singkat: Tidak *
Sandi yang disimpan di komputer lokal Anda dapat didekripsi oleh Chrome, selama akun pengguna OS Anda masuk. Dan kemudian Anda dapat melihatnya dalam teks biasa. Pada awalnya ini tampak mengerikan, tetapi menurut Anda bagaimana cara kerja pengisian otomatis? Saat kolom sandi tersebut diisi, Chrome harus memasukkan sandi yang sebenarnya ke dalam elemen formulir HTML - atau halaman tidak akan berfungsi dengan benar, dan Anda tidak dapat mengirimkan formulir tersebut. Dan jika koneksi ke situs web tidak melalui HTTPS, teks biasa kemudian dikirim melalui internet. Dengan kata lain, jika chrome tidak bisa mendapatkan sandi teks biasa, maka itu sama sekali tidak berguna. Hash satu arah tidak bagus, karena kita perlu menggunakannya.
Sekarang kata sandi sebenarnya dienkripsi, satu-satunya cara untuk mengembalikannya ke teks biasa adalah dengan memiliki kunci dekripsi. Kunci itu adalah kata sandi Google Anda, atau kunci sekunder yang dapat Anda siapkan. Saat Anda masuk ke Chrome dan menyinkronkan, server Google akan mengirimkan file dienkripsi kata sandi, pengaturan, bookmark, pengisian otomatis, dll, ke mesin lokal Anda. Di sini Chrome akan mendekripsi informasi dan dapat menggunakannya.
Di sisi Google, semua info itu disimpan dalam status terenkripsi, dan mereka tidak memiliki kunci untuk mendekripsinya. Kata sandi akun Anda diperiksa terhadap hash untuk masuk ke Google, dan bahkan jika Anda membiarkan chrome mengingatnya, versi terenkripsi itu tersembunyi dalam paket yang sama dengan kata sandi lainnya, tidak mungkin diakses. Jadi, seorang karyawan mungkin dapat mengambil data yang dienkripsi, tetapi tidak akan ada gunanya bagi mereka, karena mereka tidak akan dapat menggunakannya. *
Jadi tidak, karyawan Google tidak dapat ** mengakses sandi Anda, karena sandi tersebut dienkripsi di server mereka.
* Namun, jangan lupa bahwa sistem apa pun yang dapat diakses oleh pengguna yang sah dapat diakses oleh pengguna yang tidak sah. Beberapa sistem lebih mudah dihancurkan daripada yang lain, tetapi tidak ada yang anti-gagal. . . Karena itu, saya pikir saya akan mempercayai Google dan jutaan yang mereka habiskan untuk sistem keamanan, daripada solusi penyimpanan kata sandi lainnya. Dan sih, saya seorang kutu buku yang lemah, akan lebih mudah untuk mengalahkan kata sandi saya daripada membobol enkripsi Google.
** Saya juga berasumsi bahwa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke komputer lokal Anda. Dalam hal ini Anda kacau, tetapi pekerjaan di Google sebenarnya bukan merupakan faktor lagi. Moral: Pukul Menang + L sebelum meninggalkan mesin.
Meskipun kami setuju dengan zeel bahwa ada taruhan yang cukup aman (selama komputer Anda tidak diretas) bahwa sandi Anda sebenarnya aman saat disimpan di Chrome, kami lebih suka mengenkripsi semua info masuk dan sandi kami di Lemari besi LastPass .
Punya sesuatu untuk ditambahkan ke penjelasannya? Suarakan di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi? Lihat utas diskusi lengkap di sini .
