Stocarea parolelor în browserul dvs. web pare un economisitor excelent de timp, dar parolele sunt sigure și inaccesibile pentru alții (chiar și pentru angajații companiei de navigare) atunci când sunt scoase din veveriță?
Sesiunea de Întrebări și Răspunsuri de astăzi ne vine prin amabilitatea SuperUser - o subdiviziune a Stack Exchange, un grup de site-uri web de întrebări și răspunsuri bazat pe comunitate.
Intrebarea
Cititorul SuperUser MMA este curios dacă angajații Google au (sau ar putea avea) acces la parolele pe care le stochează în Google Chrome:
Înțeleg că suntem cu adevărat tentați să vă salvăm parolele în Google Chrome. Beneficiul probabil este de două ori,
- Nu este nevoie să (memorați și) să introduceți acele parole lungi și criptice.
- Acestea sunt disponibile oriunde vă aflați odată ce vă conectați la contul dvs. Google.
Ultimul punct mi-a stârnit îndoiala. Deoarece parola este disponibilă oriunde , stocarea trebuie să fie într-o anumită locație centrală, iar aceasta ar trebui să fie la Google.
Acum, întrebarea mea simplă este: poate un angajat Google să vadă parolele mele?
Căutarea pe internet a dezvăluit mai multe articole / mesaje.
- Salvați parole în Chrome? Poate ar trebui să vă reconsiderați : Vorbește despre parolele dvs. furate de cineva care are acces la contul computerului. Nu s-a menționat nimic despre securitatea și vulnerabilitatea stocării centrale. Există chiar un răspuns din partea tehnologiei de securitate a browserului Chrome cu privire la prima problemă.
- Strategia nebună de securitate a parolei Chrome : De cele mai multe ori pe aceeași linie. Puteți fura parola de la cineva dacă aveți acces la contul computerului.
- Cum se fură parolele salvate în Google Chrome în 5 pași simpli : Vă învață cum să efectuați efectiv act menționat în cele două anterioare când aveți acces la contul altcuiva.
Există multe altele (inclusiv Aceasta la acest site ), majoritatea de-a lungul aceleiași linii, puncte, contrapuncte, dezbateri uriașe. Mă abțin să le menționez aici, pur și simplu căutați dacă doriți să le găsiți.
Revenind la interogarea mea inițială, poate un angajat Google să vadă parola mea? Deoarece pot vizualiza parola folosind un buton simplu, cu siguranță pot fi descărcate (decriptate) chiar dacă sunt criptate. Acest lucru este foarte diferit de parolele salvate în sistemul de operare tip Unix, unde parola salvată nu poate fi văzută niciodată în text simplu.
Folosesc un algoritm de criptare unidirecțional pentru a vă cripta parolele. Această parolă criptată este apoi stocată în fișierul passwd sau shadow. Când încercați să vă autentificați, parola pe care o introduceți este din nou criptată și comparată cu intrarea din fișierul care stochează parolele dvs. Dacă se potrivesc, trebuie să fie aceeași parolă și vi se permite accesul. Astfel, un superutilizator îmi poate schimba parola, îmi poate bloca contul, dar nu îmi poate vedea niciodată parola.
Deci îngrijorările sale sunt bine întemeiate sau o mică perspectivă îi va risipi îngrijorarea?
Răspunsul
Contribuitorul SuperUser Zeel vă ajută să vă liniștiți mintea:
Răspuns scurt: Nu *
Parolele stocate pe computerul dvs. local pot fi decriptate de Chrome, atâta timp cât contul dvs. de utilizator al sistemului de operare este conectat. Și apoi le puteți vizualiza în text simplu. La început, acest lucru pare oribil, dar cum credeți că a funcționat completarea automată? Când acel câmp de parolă este completat, Chrome trebuie să introducă parola reală în elementul formular HTML - altfel pagina nu ar funcționa corect și nu ați putea trimite formularul. Și dacă conexiunea la site-ul web nu depășește HTTPS, textul simplu este apoi trimis pe internet. Cu alte cuvinte, dacă Chrome nu poate obține parolele text simplu, atunci acestea sunt complet inutile. Un hash într-un fel nu este bun, pentru că trebuie să le folosim.
Acum, parolele sunt de fapt criptate, singura modalitate de a le readuce la text simplu este să aveți cheia de decriptare. Cheia respectivă este parola dvs. Google sau o cheie secundară pe care o puteți configura. Când vă conectați la Chrome și sincronizați serverele Google vor transmite criptat parolele, setările, marcajele, completarea automată etc. la computerul dvs. local. Aici Chrome va decripta informațiile și le va putea folosi.
La sfârșitul Google, toate acele informații sunt stocate în starea sa încriptată și nu au cheia pentru a le decripta. Parola contului dvs. este comparată cu un hash pentru a vă conecta la Google și, chiar dacă lăsați Chrome să o amintească, versiunea criptată este ascunsă în același pachet ca celelalte parole, imposibil de accesat. Deci, un angajat ar putea, probabil, să preia o grămadă de date criptate, dar nu le-ar aduce niciun folos, deoarece nu ar avea cum să le folosească. *
Deci nu, angajații Google nu vă pot ** accesa parolele, deoarece acestea sunt criptate pe serverele lor.
* Cu toate acestea, nu uitați că orice sistem care poate fi accesat de un utilizator autorizat poate fi accesat de un utilizator neautorizat. Unele sisteme sunt mai ușor de spart decât altele, dar niciunul nu este rezistent la erori. . . Acestea fiind spuse, cred că voi avea încredere în Google și în milioanele pe care le cheltuiesc pe sisteme de securitate, peste orice altă soluție de stocare a parolelor. Și naiba, sunt un tocilar înfricoșător, ar fi mai ușor să scap parolele din mine decât să sparg criptarea Google.
** Presupun, de asemenea, că nu există o persoană care să lucreze doar pentru ca Google să aibă acces la computerul dvs. local. În acest caz, sunteți descurcat, dar angajarea la Google nu mai este un factor. Morală: Lovit Victorie + L înainte de a părăsi mașina.
Deși suntem de acord cu zeel că este un pariu destul de sigur (atâta timp cât computerul nu este compromis) că parolele dvs. sunt de fapt sigure în timp ce sunt stocate în Chrome, preferăm să criptăm toate datele de conectare și parolele noastre într-un Seif LastPass .
Aveți ceva de adăugat la explicație? Sună în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori ai Stack Exchange? Consultați aici firul complet de discuție .
