Armazenar suas senhas em seu navegador parece uma grande economia de tempo, mas as senhas são seguras e inacessíveis para outras pessoas (até mesmo para funcionários da empresa de navegadores) quando são esquecidas?
A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de sites de perguntas e respostas voltado para a comunidade
A questão
O leitor de superusuário MMA está curioso para saber se os funcionários do Google têm (ou poderiam ter) acesso às senhas que ele armazena no Google Chrome:
Eu entendo que estamos realmente tentados a salvar suas senhas no Google Chrome. O benefício provável é duplo,
- Você não precisa (memorizar e) inserir essas senhas longas e enigmáticas.
- Eles estão disponíveis onde você estiver, assim que fizer login em sua conta do Google.
O último ponto despertou minha dúvida. Uma vez que a senha está disponível qualquer lugar , o armazenamento deve estar em algum local central, e isso deve ser no Google.
Agora, minha pergunta simples é: um funcionário do Google pode ver minhas senhas?
Pesquisando na Internet revelaram vários artigos / mensagens.
- Você salva senhas no Chrome? Talvez você deva reconsiderar : Fala sobre suas senhas serem roubadas por alguém que tem acesso à sua conta de computador. Nada mencionado sobre a segurança e vulnerabilidade do armazenamento central. Há até uma resposta do líder técnico de segurança do navegador Chrome sobre o primeiro problema.
- Estratégia insana de segurança de senha do Chrome : Principalmente na mesma linha. Você pode roubar a senha de alguém se tiver acesso à conta do computador.
- Como roubar senhas salvas no Google Chrome em 5 etapas simples : Ensina como realmente executar o Aja mencionado nos dois anteriores quando você tem acesso à conta de outra pessoa.
Existem muitos mais (incluindo este em esse site ), principalmente na mesma linha, pontos, contrapontos, grandes debates. Eu me abstenho de mencioná-los aqui, simplesmente faça uma busca se quiser encontrá-los.
Voltando à minha consulta original, um funcionário do Google pode ver minha senha? Como posso visualizar a senha usando um botão simples, definitivamente elas podem ser descompactadas (descriptografadas), mesmo se criptografadas. Isso é muito diferente das senhas salvas em sistemas operacionais tipo Unix, onde a senha salva nunca pode ser vista em texto simples.
Eles usam um algoritmo de criptografia unilateral para criptografar suas senhas. Essa senha criptografada é então armazenada no arquivo passwd ou shadow. Quando você tenta fazer o login, a senha digitada é criptografada novamente e comparada com a entrada no arquivo que armazena suas senhas. Se forem iguais, deve ser a mesma senha e você tem permissão para acessar. Assim, um superusuário pode alterar minha senha, pode bloquear minha conta, mas ele nunca pode ver minha senha.
Portanto, suas preocupações são bem fundamentadas ou um pouco de discernimento dissipará sua preocupação?
A resposta
O contribuidor do SuperUser Zeel o ajuda a relaxar:
Resposta curta: Não *
As senhas armazenadas em sua máquina local podem ser descriptografadas pelo Chrome, desde que sua conta de usuário do sistema operacional esteja conectada. E então você pode visualizá-las em texto simples. A princípio, isso parece horrível, mas como você achou que o preenchimento automático funcionava? Quando esse campo de senha é preenchido, o Chrome deve inserir a senha real no elemento de formulário HTML - ou a página não funcionaria direito e você não poderia enviar o formulário. E se a conexão com o site não for HTTPS, o texto simples é enviado pela Internet. Em outras palavras, se o Chrome não consegue obter as senhas em texto simples, elas são totalmente inúteis. Um hash unilateral não é bom, porque precisamos usá-los.
Agora que as senhas estão de fato criptografadas, a única maneira de colocá-las de volta em texto simples é ter a chave de descriptografia. Essa chave é sua senha do Google ou uma chave secundária que você pode configurar. Quando você faz login no Chrome e sincroniza, os servidores do Google transmitem o criptografado senhas, configurações, favoritos, preenchimento automático, etc, para sua máquina local. Aqui, o Chrome irá descriptografar as informações e ser capaz de usá-las.
Do lado do Google, todas essas informações são armazenadas em seu estado criptografado e eles não têm a chave para descriptografá-las. A senha da sua conta é verificada em relação a um hash para fazer login no Google e, mesmo se você permitir que o Chrome se lembre, essa versão criptografada está oculta no mesmo pacote que as outras senhas, impossível de acessar. Portanto, um funcionário provavelmente poderia obter um despejo dos dados criptografados, mas isso não faria nenhum bem, já que eles não teriam como usá-los. *
Portanto, não, os funcionários do Google não podem ** acessar suas senhas, pois elas estão criptografadas em seus servidores.
* No entanto, não se esqueça que qualquer sistema que pode ser acessado por um usuário autorizado pode ser acessado por um usuário não autorizado. Alguns sistemas são mais fáceis de quebrar do que outros, mas nenhum é à prova de falhas. . . Dito isso, acho que vou confiar no Google e nos milhões que gastam em sistemas de segurança, em vez de qualquer outra solução de armazenamento de senha. E caramba, eu sou um nerd fracote, seria mais fácil arrancar as minhas senhas do que quebrar a criptografia do Google
** Também estou supondo que não há uma pessoa que simplesmente trabalha para o Google tendo acesso à sua máquina local. Nesse caso, você está ferrado, mas o emprego no Google não é mais um fator importante. Moral: Hit Ganhar + eu antes de sair da máquina.
Embora concordemos com a zeel que é uma aposta bastante segura (contanto que seu computador não seja comprometido) que suas senhas estão de fato seguras enquanto armazenadas no Chrome, preferimos criptografar todos os nossos logins e senhas em um Cofre LastPass .
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui .
