Het opslaan van uw wachtwoorden in uw webbrowser lijkt een grote tijdwinst, maar zijn de wachtwoorden veilig en ontoegankelijk voor anderen (zelfs werknemers van het browserbedrijf) wanneer ze worden weggejaagd?
De vraag- en antwoordsessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-gedreven groepering van Q & A-websites.
De vraag
SuperUser-lezer MMA is benieuwd of Google-medewerkers toegang hebben (of zouden kunnen hebben) tot de wachtwoorden die hij opslaat in Google Chrome:
Ik begrijp dat we echt in de verleiding komen om uw wachtwoorden op te slaan in Google Chrome. Het waarschijnlijke voordeel is tweeledig,
- U hoeft die lange en cryptische wachtwoorden niet te (onthouden en) in te voeren.
- Deze zijn overal beschikbaar zodra u zich aanmeldt bij uw Google-account.
Het laatste punt wakkerde mijn twijfel aan. Omdat het wachtwoord beschikbaar is overal , de opslag moet op een centrale locatie staan, en dit moet bij Google zijn.
Nu is mijn simpele vraag: kan een Google-medewerker mijn wachtwoorden zien?
Zoeken op internet leverde verschillende artikelen / berichten op.
- Slaat u wachtwoorden op in Chrome? Misschien moet je er nog eens over nadenken : Vertelt dat uw wachtwoorden zijn gestolen door iemand die toegang heeft tot uw computeraccount. Niets vermeld over de beveiliging en kwetsbaarheid van de centrale opslag. Er is zelfs een reactie van de Chrome-browserbeveiligingstechnicus over het eerste probleem.
- De waanzinnige wachtwoordbeveiligingsstrategie van Chrome : Meestal langs dezelfde lijn. U kunt een wachtwoord van iemand stelen als u toegang heeft tot het computeraccount.
- Wachtwoorden stelen die zijn opgeslagen in Google Chrome in 5 eenvoudige stappen : Leert u hoe u de handelen vermeld in de vorige twee wanneer u toegang heeft tot het account van iemand anders.
Er zijn er nog veel meer (inclusief deze Bij deze site ), meestal langs dezelfde lijn, punten, tegenpunten, enorme debatten. Ik noem ze hier niet, voer gewoon een zoekopdracht uit als je ze wilt vinden.
Terugkomend op mijn oorspronkelijke vraag: kan een Google-medewerker mijn wachtwoord zien? Omdat ik het wachtwoord kan zien met een simpele knop, kunnen ze zeker worden opgeheven (gedecodeerd), zelfs als ze gecodeerd zijn. Dit is heel anders dan de wachtwoorden die zijn opgeslagen in Unix-achtige besturingssystemen, waar het opgeslagen wachtwoord nooit in platte tekst kan worden gezien.
Ze gebruiken een eenrichtingsversleutelingsalgoritme om uw wachtwoorden te versleutelen. Dit gecodeerde wachtwoord wordt vervolgens opgeslagen in het passwd- of schaduwbestand. Wanneer u probeert in te loggen, wordt het wachtwoord dat u invoert opnieuw gecodeerd en vergeleken met de invoer in het bestand waarin uw wachtwoorden zijn opgeslagen. Als ze overeenkomen, moet het hetzelfde wachtwoord zijn en hebt u toegang. Zo kan een superuser mijn wachtwoord wijzigen, mijn account blokkeren, maar hij kan mijn wachtwoord nooit zien.
Zijn zijn zorgen dus gegrond of zal een beetje inzicht zijn zorgen wegnemen?
Het antwoord
SuperUser-bijdrager Zeel helpt hem op zijn gemak te stellen:
Kort antwoord: Nee *
Wachtwoorden die op uw lokale computer zijn opgeslagen, kunnen door Chrome worden gedecodeerd, zolang uw OS-gebruikersaccount is aangemeld. En dan kunt u ze in platte tekst bekijken. In eerste instantie lijkt dit vreselijk, maar hoe dacht je dat automatisch aanvullen werkte? Wanneer dat wachtwoordveld wordt ingevuld, moet Chrome het echte wachtwoord in het HTML-formulierelement invoegen, anders werkt de pagina niet goed en kunt u het formulier niet verzenden. En als de verbinding met de website niet via HTTPS verloopt, wordt de platte tekst via internet verzonden. Met andere woorden, als Chrome de wachtwoorden in platte tekst niet kan krijgen, zijn ze totaal nutteloos. Eenrichtingshash is niet goed, omdat we ze moeten gebruiken.
Nu zijn de wachtwoorden in feite gecodeerd, de enige manier om ze terug te krijgen naar platte tekst is om de decoderingssleutel te hebben. Die sleutel is uw Google-wachtwoord, of een secundaire sleutel die u kunt instellen. Wanneer u zich aanmeldt bij Chrome en synchroniseert, verzenden de Google-servers het versleuteld wachtwoorden, instellingen, bladwijzers, automatisch invullen, enz. naar uw lokale computer. Hier zal Chrome de informatie ontsleutelen en deze kunnen gebruiken.
Aan de kant van Google wordt al die informatie versleuteld opgeslagen en hebben ze niet de sleutel om deze te ontsleutelen. Uw accountwachtwoord wordt vergeleken met een hash om in te loggen bij Google, en zelfs als u Chrome het laat onthouden, is die gecodeerde versie verborgen in dezelfde bundel als de andere wachtwoorden, onmogelijk om toegang te krijgen. Een werknemer zou dus waarschijnlijk een dump van de gecodeerde gegevens kunnen pakken, maar het zou hem geen goed doen, omdat ze het niet zouden kunnen gebruiken. *
Dus nee, Google-medewerkers hebben geen ** toegang tot uw wachtwoorden, aangezien deze op hun servers zijn gecodeerd.
* Vergeet echter niet dat elk systeem waartoe een geautoriseerde gebruiker toegang heeft, ook toegankelijk is voor een niet-geautoriseerde gebruiker. Sommige systemen zijn gemakkelijker kapot te maken dan andere, maar geen enkele is fail-proof. . . Dat gezegd hebbende, denk ik dat ik Google en de miljoenen die ze uitgeven aan beveiligingssystemen, vertrouw boven elke andere oplossing voor wachtwoordopslag. En ach, ik ben een slappe nerd, het zou gemakkelijker zijn om de wachtwoorden uit me te slaan dan de codering van Google te breken.
** Ik neem ook aan dat er geen persoon is die toevallig voor Google werkt en toegang krijgt tot uw lokale computer. In dat geval ben je genaaid, maar een baan bij Google speelt eigenlijk geen rol meer. Moraal: hit Winnen + L. voordat u de machine verlaat.
Hoewel we het met zeel eens zijn dat het een redelijk veilige gok is (zolang uw computer niet gecompromitteerd is) dat uw wachtwoorden in feite veilig zijn terwijl ze zijn opgeslagen in Chrome, geven we er de voorkeur aan al onze aanmeldingen en wachtwoorden te versleutelen in een LastPass-kluis .
Iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden lezen van andere technisch onderlegde Stack Exchange-gebruikers? Bekijk hier de volledige discussiethread .
