Å lagre passordene dine i nettleseren din virker som en god tidsbesparelse, men er passordene sikre og utilgjengelige for andre (til og med ansatte i nettleserselskapet) når de blir ekornet?
Dagens spørsmål og svar-økt kommer til oss med tillatelse fra SuperUser - en underavdeling av Stack Exchange, en samfunnsdrevet gruppe av spørsmål og svar-nettsteder.
Spørsmålet
SuperUser-leser MMA er nysgjerrig på om Google-ansatte har (eller kan ha) tilgang til passordene han lagrer i Google Chrome:
Jeg forstår at vi virkelig er fristet til å lagre passordene dine i Google Chrome. Den sannsynlige fordelen er to ganger,
- Du trenger ikke (huske og) legge inn de lange og kryptiske passordene.
- Disse er tilgjengelige uansett hvor du er når du logger på Google-kontoen din.
Det siste punktet vekket tvilen min. Siden passordet er tilgjengelig hvor som helst , lagringen må være sentralt, og dette bør være hos Google.
Nå er det enkle spørsmålet mitt, kan en Google-ansatt se passordene mine?
Søking over Internett avslørte flere artikler / meldinger.
- Lagrer du passord i Chrome? Kanskje du bør revurdere : Snakker om at passordene dine blir stjålet av noen som har tilgang til datakontoen din. Ingenting nevnt om den sentrale lagringssikkerheten og sårbarheten. Det er til og med et svar fra Chrome nettleserens sikkerhetstekniske leder om det første problemet.
- Chrome sin vanvittige sikkerhetsstrategi for passord : Mest på samme linje. Du kan stjele passord fra noen hvis du har tilgang til datakontoen.
- Hvordan stjele passord lagret i Google Chrome i 5 enkle trinn : Lærer deg hvordan du faktisk skal utføre handling nevnt i de to foregående når du har tilgang til andres konto.
Det er mange flere (inkludert denne at denne siden ), hovedsakelig langs samme linje, poeng, motpoeng, enorme debatter. Jeg avstår fra å nevne dem her, bare søk hvis du vil finne dem.
Kommer jeg tilbake til det opprinnelige spørsmålet mitt, kan en Google-ansatt se passordet mitt? Siden jeg kan se passordet ved hjelp av en enkel knapp, kan de definitivt bli uskadd (dekryptert) selv om de er kryptert. Dette er veldig forskjellig fra passordene som er lagret i Unix-lignende OS-er der det lagrede passordet aldri kan sees i ren tekst.
De bruker en enveiskrypteringsalgoritme for å kryptere passordene dine. Dette krypterte passordet lagres deretter i passwd- eller skyggefilen. Når du prøver å logge på, blir passordet du skriver inn kryptert igjen og sammenlignet med oppføringen i filen som lagrer passordene dine. Hvis de samsvarer, må det være det samme passordet, og du får tilgang. Dermed kan en superbruker endre passordet mitt, kan blokkere kontoen min, men han kan aldri se passordet mitt.
Så er hans bekymringer velbegrunnede, eller vil litt innsikt fjerne bekymringene hans?
Svaret
SuperUser-bidragsyter Zeel hjelper deg med å gjøre det rolig:
Kort svar: Nei *
Passord som er lagret på din lokale maskin, kan dekrypteres av Chrome, så lenge OS-brukerkontoen din er logget på. Og så kan du se dem i ren tekst. Først virker dette forferdelig, men hvordan syntes du autofyll fungerte? Når passordfeltet blir fylt ut, må Chrome sette inn det virkelige passordet i HTML-skjemaelementet - ellers fungerer ikke siden riktig, og du kan ikke sende inn skjemaet. Og hvis forbindelsen til nettstedet ikke er over HTTPS, sendes ren tekst over internett. Med andre ord, hvis krom ikke kan få passord for ren tekst, så er de helt ubrukelige. Enveis hash er ikke bra, fordi vi trenger å bruke dem.
Nå er passordene faktisk kryptert, den eneste måten å få dem tilbake til ren tekst er å ha dekrypteringsnøkkelen. Den nøkkelen er ditt Google-passord, eller en sekundær nøkkel du kan konfigurere. Når du logger på Chrome og synkroniserer, sender Google-serverne kryptert passord, innstillinger, bokmerker, automatisk utfylling osv. til din lokale maskin. Her vil Chrome dekryptere informasjonen og kunne bruke den.
På Googles slutt lagres all den informasjonen i kryptert tilstand, og de har ikke nøkkelen til å dekryptere den. Kontopassordet ditt blir sjekket mot et hash for å logge på Google, og selv om du lar krom huske det, er den krypterte versjonen skjult i samme pakke som de andre passordene, umulig å få tilgang til. Så en ansatt kan sannsynligvis ta en dump av de krypterte dataene, men det vil ikke gjøre dem noe bra, siden de ikke har noen måte å bruke dem. *
Så nei, Google-ansatte kan ikke ** få tilgang til passordene dine, siden de er kryptert på serverne sine.
* Ikke glem at ethvert system som er tilgjengelig av en autorisert bruker, kan få tilgang til av en uautorisert bruker. Noen systemer er lettere å bryte enn andre, men ingen er feilsikre. . . Når det er sagt, tror jeg at jeg vil stole på Google og millionene de bruker på sikkerhetssystemer, over enhver annen passordlagringsløsning. Og pokker, jeg er en skummel nerd, det ville være lettere å slå passordene ut av meg enn å bryte Googles kryptering.
** Jeg antar også at det ikke er en person som tilfeldigvis jobber for Google for å få tilgang til din lokale maskin. I så fall er du skrudd, men ansettelse hos Google er faktisk ikke en faktor lenger. Moralsk: Hit Vinne + L før du forlater maskinen.
Mens vi er enige med zeel om at det er en ganske trygg innsats (så lenge datamaskinen din ikke er kompromittert) at passordene dine faktisk er trygge mens de er lagret i Chrome, foretrekker vi å kryptere alle pålogginger og passord i en LastPass hvelv .
Har du noe å legge til forklaringen? Hør av i kommentarene. Vil du lese flere svar fra andre teknologikyndige Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her .
