Memorizzare le tue password nel tuo browser web sembra un ottimo risparmio di tempo, ma le password sono sicure e inaccessibili agli altri (anche ai dipendenti della società del browser) quando vengono allontanate?
La sessione di domande e risposte di oggi ci arriva per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento guidato dalla comunità di siti web di domande e risposte.
La domanda
Il lettore SuperUser MMA è curioso di sapere se i dipendenti di Google hanno (o potrebbero avere) accesso alle password che memorizza in Google Chrome:
Capisco che siamo davvero tentati di salvare le tue password in Google Chrome. Il probabile vantaggio è duplice,
- Non è necessario (memorizzare e) inserire quelle password lunghe e criptiche.
- Questi sono disponibili ovunque ti trovi dopo aver effettuato l'accesso al tuo account Google.
L'ultimo punto ha acceso il mio dubbio. Poiché la password è disponibile in qualunque posto , lo spazio di archiviazione deve essere in una posizione centrale e dovrebbe essere Google.
La mia semplice domanda è: un dipendente Google può vedere le mie password?
La ricerca su Internet ha rivelato diversi articoli / messaggi.
- Salvate le password in Chrome? Forse dovresti riconsiderare : Parla del furto delle tue password da parte di qualcuno che ha accesso al tuo account del computer. Nulla menzionato sulla sicurezza e la vulnerabilità dello storage centrale. C'è anche una risposta dal responsabile tecnico della sicurezza del browser Chrome sul primo problema.
- La folle strategia di sicurezza delle password di Chrome : Principalmente sulla stessa linea. Puoi rubare la password a qualcuno se hai accesso all'account del computer.
- Come rubare le password salvate in Google Chrome in 5 semplici passaggi : Ti insegna come eseguire effettivamente il atto menzionato nei due precedenti quando hai accesso all'account di qualcun altro.
Ce ne sono molti altri (inclusi questo a questo sito ), per lo più sulla stessa linea, punti, contrappunti, grandi dibattiti. Mi astengo dal menzionarli qui, effettua semplicemente una ricerca se vuoi trovarli.
Tornando alla mia query originale, un dipendente Google può vedere la mia password? Dato che posso visualizzare la password utilizzando un semplice pulsante, sicuramente possono essere unhashed (decrittografati) anche se crittografati. Questo è molto diverso dalle password salvate in sistemi operativi Unix-like dove la password salvata non può mai essere vista in testo normale.
Usano un algoritmo di crittografia unidirezionale per crittografare le tue password. Questa password crittografata viene quindi memorizzata nel file passwd o shadow. Quando si tenta di accedere, la password digitata viene nuovamente crittografata e confrontata con la voce nel file che memorizza le password. Se corrispondono, deve essere la stessa password e l'accesso è consentito. Pertanto, un superutente può modificare la mia password, può bloccare il mio account, ma non potrà mai vedere la mia password.
Quindi le sue preoccupazioni sono ben fondate o un po 'di intuizione dissiperà la sua preoccupazione?
La risposta
Il collaboratore di SuperUser Zeel aiuta a metterlo a suo agio:
Risposta breve: no *
Le password memorizzate sul tuo computer locale possono essere decrittografate da Chrome, a condizione che il tuo account utente del sistema operativo sia connesso. E poi puoi visualizzarle in testo normale. All'inizio sembra orribile, ma come pensavi che funzionasse il riempimento automatico? Quando il campo della password viene compilato, Chrome deve inserire la password reale nell'elemento del modulo HTML, altrimenti la pagina non funzionerebbe correttamente e non potresti inviare il modulo. E se la connessione al sito Web non è tramite HTTPS, il testo normale viene quindi inviato su Internet. In altre parole, se Chrome non riesce a ottenere le password in testo normale, allora sono totalmente inutili. Un hash one-way non va bene, perché dobbiamo usarli.
Ora le password sono di fatto crittografate, l'unico modo per riportarle in testo normale è avere la chiave di decrittazione. Quella chiave è la tua password Google o una chiave secondaria che puoi configurare. Quando accedi a Chrome e sincronizzi, i server di Google trasmetteranno il file criptato password, impostazioni, segnalibri, compilazione automatica, ecc. sul computer locale. Qui Chrome decodificherà le informazioni e sarà in grado di utilizzarle.
Da parte di Google, tutte queste informazioni vengono memorizzate nel loro stato crittografato e non hanno la chiave per decrittografarle. La password del tuo account viene controllata con un hash per accedere a Google e, anche se lasci che Chrome la ricordi, quella versione crittografata è nascosta nello stesso pacchetto delle altre password, impossibile da accedere. Quindi un dipendente potrebbe probabilmente prendere un dump dei dati crittografati, ma non gli sarebbe servito a niente, poiché non avrebbe modo di usarli. *
Quindi no, i dipendenti di Google non possono ** accedere alle tue password, poiché sono crittografate sui loro server.
* Tuttavia, non dimenticare che qualsiasi sistema a cui può accedere un utente autorizzato può essere utilizzato da un utente non autorizzato. Alcuni sistemi sono più facili da rompere rispetto ad altri, ma nessuno è a prova di guasto. . . Detto questo, penso che mi fiderò di Google e dei milioni che spendono per i sistemi di sicurezza, rispetto a qualsiasi altra soluzione di archiviazione delle password. E diamine, sono un debole secchione, sarebbe più facile fregarmi le password che violare la crittografia di Google.
** Suppongo anche che non ci sia una persona che lavora per Google che accede alla tua macchina locale. In tal caso sei fottuto, ma l'occupazione in Google non è più un fattore. Morale: colpire Vincere + L prima di lasciare la macchina.
Sebbene siamo d'accordo con zeel sul fatto che sia una scommessa abbastanza sicura (a condizione che il tuo computer non sia compromesso) che le tue password siano effettivamente al sicuro mentre sono archiviate in Chrome, preferiamo crittografare tutti i nostri accessi e password in un LastPass vault .
Hai qualcosa da aggiungere alla spiegazione? Suona nei commenti. Vuoi leggere altre risposte da altri utenti esperti di tecnologia Stack Exchange? Dai un'occhiata al thread di discussione completo qui .
