Przechowywanie haseł w przeglądarce internetowej wydaje się być świetnym sposobem na zaoszczędzenie czasu, ale czy hasła są bezpieczne i niedostępne dla innych (nawet pracowników firmy zajmującej się przeglądarką), gdy zostaną usunięte?
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser MMA jest ciekawy, czy pracownicy Google mają (lub mogą mieć) dostęp do haseł, które przechowuje w Google Chrome:
Rozumiem, że naprawdę kusi nas zapisywanie Twoich haseł w Google Chrome. Prawdopodobna korzyść jest dwojaka,
- Nie musisz (zapamiętywać i) wprowadzać tych długich i tajemniczych haseł.
- Są one dostępne gdziekolwiek jesteś po zalogowaniu się na swoje konto Google.
Ostatni punkt wzbudził moje wątpliwości. Ponieważ hasło jest dostępne gdziekolwiek , przechowywanie musi znajdować się w jakimś centralnym miejscu, a to powinno znajdować się w Google.
Teraz moje proste pytanie brzmi: czy pracownik Google może zobaczyć moje hasła?
Wyszukiwanie w Internecie ujawniło kilka artykułów / wiadomości.
- Czy zapisujesz hasła w Chrome? Może powinieneś to przemyśleć : Mówi o kradzieży haseł przez kogoś, kto ma dostęp do konta komputera. Nic nie wspomniano o bezpieczeństwie i podatności centralnej pamięci masowej. Jest nawet odpowiedź od kierownika ds. Bezpieczeństwa przeglądarki Chrome na temat pierwszego problemu.
- Szalona strategia zabezpieczania haseł w Chrome : Głównie wzdłuż tej samej linii. Możesz ukraść hasło od kogoś, jeśli masz dostęp do konta komputera.
- Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach : Uczy cię, jak właściwie wykonać akt wspomniane w poprzednich dwóch, gdy masz dostęp do konta innej osoby.
Jest o wiele więcej (w tym ten w ta strona ), głównie w tym samym kierunku, punkty, kontrpunkty, wielkie debaty. Powstrzymuję się od wymieniania ich tutaj, po prostu przeprowadź wyszukiwanie, jeśli chcesz je znaleźć.
Wracając do mojego pierwotnego zapytania, czy pracownik Google może zobaczyć moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, zdecydowanie można je odblokować (odszyfrować), nawet jeśli są zaszyfrowane. Różni się to bardzo od haseł zapisanych w systemach uniksopodobnych, w których zapisane hasło nigdy nie jest widoczne w postaci zwykłego tekstu.
Używają jednokierunkowego algorytmu szyfrowania do szyfrowania haseł. To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Podczas próby logowania hasło, które wpisujesz, jest ponownie szyfrowane i porównywane z wpisem w pliku, w którym są przechowywane Twoje hasła. Jeśli pasują, musi to być to samo hasło, a Ty masz dostęp. W ten sposób superużytkownik może zmienić moje hasło, może zablokować moje konto, ale nigdy nie może zobaczyć mojego hasła.
Czy więc jego obawy są uzasadnione, czy też odrobina wglądu rozwiąże jego zmartwienie?
Odpowiedź
Współpracownik SuperUser Zeel pomaga mu się uspokoić:
Krótka odpowiedź: nie *
Hasła przechowywane na komputerze lokalnym mogą zostać odszyfrowane przez Chrome, o ile zalogowane jest konto użytkownika systemu operacyjnego. Następnie możesz je wyświetlić w postaci zwykłego tekstu. Na początku wydaje się to okropne, ale jak myślisz, jak działa automatyczne wypełnianie? Gdy to pole hasła zostanie wypełnione, Chrome musi wstawić prawdziwe hasło do elementu formularza HTML - w przeciwnym razie strona nie będzie działać poprawnie i nie możesz przesłać formularza. A jeśli połączenie z witryną nie odbywa się za pośrednictwem protokołu HTTPS, zwykły tekst jest następnie wysyłany przez Internet. Innymi słowy, jeśli Chrome nie może uzyskać haseł w postaci zwykłego tekstu, są one całkowicie bezużyteczne. Jednokierunkowy haszysz nie jest dobry, ponieważ musimy ich użyć.
Teraz hasła są w rzeczywistości zaszyfrowane, jedynym sposobem na przywrócenie ich do postaci zwykłego tekstu jest posiadanie klucza deszyfrującego. Ten klucz to Twoje hasło Google lub dodatkowy klucz, który możesz skonfigurować. Po zalogowaniu się w Chrome i zsynchronizowaniu serwerów Google prześle plik zaszyfrowane hasła, ustawienia, zakładki, autouzupełnianie itp. na komputerze lokalnym. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.
Ze strony Google wszystkie te informacje są przechowywane w stanie zaszyfrowanym, a firma nie ma klucza do ich odszyfrowania. Twoje hasło do konta jest sprawdzane z hashem, aby zalogować się do Google, a nawet jeśli pozwolisz Chrome je zapamiętać, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie co inne hasła i nie można uzyskać do niej dostępu. Dlatego pracownik prawdopodobnie mógłby pobrać zrzut zaszyfrowanych danych, ale nie przyniósłby mu to nic dobrego, ponieważ nie mieliby możliwości ich wykorzystać.
Więc nie, pracownicy Google nie mogą ** uzyskać dostępu do Twoich haseł, ponieważ są one zaszyfrowane na ich serwerach.
* Nie należy jednak zapominać, że każdy system, do którego ma dostęp uprawniony użytkownik, może uzyskać dostęp nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żaden nie jest odporny na awarie. . . Biorąc to pod uwagę, myślę, że zaufam Google i milionom, które wydali na systemy bezpieczeństwa, w porównaniu z jakimkolwiek innym rozwiązaniem do przechowywania haseł. I do cholery, jestem słabym frajerem, łatwiej byłoby mi wybić hasła niż złamać szyfrowanie Google.
** Zakładam również, że nie ma osoby, która akurat pracowała dla Google, uzyskując dostęp do twojego lokalnego komputera. W takim razie masz przerąbane, ale zatrudnienie w Google nie ma już znaczenia. Morał: Hit Zdobyć + L przed opuszczeniem maszyny.
Zgadzamy się z firmą Zeel, że założenie (o ile komputer nie zostanie naruszony) jest całkiem bezpieczne, że Twoje hasła są w rzeczywistości bezpieczne podczas przechowywania w Chrome, wolimy jednak szyfrować wszystkie nasze loginy i hasła w Skarbiec LastPass .
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
