Хранение ваших паролей в веб-браузере кажется отличной экономией времени, но являются ли пароли безопасными и недоступными для других (даже для сотрудников компании-разработчика браузера), когда их сбрасывают?
Сегодняшняя сессия вопросов и ответов проходит благодаря SuperUser - подразделению Stack Exchange, группы веб-сайтов вопросов и ответов, управляемой сообществом.
Вопрос
Читателю SuperUser MMA интересно, имеют ли сотрудники Google (или могут иметь) доступ к паролям, которые он хранит в Google Chrome:
Я понимаю, что нам очень хочется сохранить ваши пароли в Google Chrome. Вероятная выгода двоякая:
- Вам не нужно (запоминать и) вводить эти длинные и загадочные пароли.
- Они доступны, где бы вы ни находились, после входа в свою учетную запись Google.
Последний пункт вызвал у меня сомнения. Поскольку пароль доступен куда угодно , хранилище должно находиться в каком-то центральном месте, и это должно быть в Google.
У меня простой вопрос: может ли сотрудник Google видеть мои пароли?
Поиск в Интернете показал несколько статей / сообщений.
- Вы сохраняете пароли в Chrome? Может тебе стоит пересмотреть : Говорит о том, что ваши пароли украдены кем-то, у кого есть доступ к вашей учетной записи на компьютере. Ничего не сказано о безопасности и уязвимости центрального хранилища. Есть даже ответ от специалиста по безопасности браузера Chrome о первой проблеме.
- Безумная стратегия защиты паролей Chrome : В основном по той же линии. Вы можете украсть пароль у кого-нибудь, если у вас есть доступ к учетной записи компьютера.
- Как украсть пароли, сохраненные в Google Chrome, за 5 простых шагов : Обучает, как на самом деле выполнять действовать упомянутые в предыдущих двух случаях, когда у вас есть доступ к чужой учетной записи.
Есть еще много других (в том числе этот в этот сайт ), в основном по той же линии, пункты, контрпункты, огромные дебаты. Я воздерживаюсь от упоминания их здесь, просто проведите поиск, если хотите их найти.
Возвращаясь к моему исходному запросу, может ли сотрудник Google увидеть мой пароль? Поскольку я могу просмотреть пароль с помощью простой кнопки, определенно их можно не хешировать (расшифровывать), даже если они зашифрованы. Это сильно отличается от паролей, сохраненных в Unix-подобных ОС, где сохраненный пароль никогда не отображается в виде обычного текста.
Они используют односторонний алгоритм шифрования. для шифрования ваших паролей. Затем этот зашифрованный пароль сохраняется в файле passwd или shadow. Когда вы пытаетесь войти в систему, вводимый вами пароль снова шифруется и сравнивается с записью в файле, в котором хранятся ваши пароли. Если они совпадают, это должен быть один и тот же пароль, и вам разрешен доступ. Таким образом, суперпользователь может изменить мой пароль, может заблокировать мою учетную запись, но он никогда не сможет увидеть мой пароль.
Так являются ли его опасения обоснованными или небольшое понимание развеет его беспокойство?
Ответ
Участник SuperUser Зил помогает успокоить его:
Краткий ответ: нет *
Пароли, хранящиеся на вашем локальном компьютере, могут быть расшифрованы Chrome, если ваша учетная запись пользователя ОС находится в системе. А затем вы можете просматривать их в виде обычного текста. Сначала это кажется ужасным, но как вы думаете, как работает автозаполнение? Когда это поле пароля заполняется, Chrome должен вставить настоящий пароль в элемент HTML-формы - иначе страница не будет работать правильно, и вы не сможете отправить форму. А если подключение к веб-сайту осуществляется не по протоколу HTTPS, то простой текст отправляется через Интернет. Другими словами, если Chrome не может получить пароли в виде простого текста, они совершенно бесполезны. Односторонний хеш не годится, потому что нам нужно их использовать.
Теперь пароли фактически зашифрованы, единственный способ вернуть их в обычный текст - это иметь ключ дешифрования. Этот ключ является вашим паролем Google или дополнительным ключом, который вы можете настроить. Когда вы входите в Chrome и синхронизируете, серверы Google передают зашифрованный пароли, настройки, закладки, автозаполнение и т. д. на локальный компьютер. Здесь Chrome расшифрует информацию и сможет ее использовать.
На стороне Google вся эта информация хранится в зашифрованном виде, и у них нет ключа для ее расшифровки. Пароль вашей учетной записи сравнивается с хешем для входа в Google, и даже если вы позволите Chrome запомнить его, эта зашифрованная версия скрыта в том же пакете, что и другие пароли, и к ней невозможно получить доступ. Таким образом, сотрудник, вероятно, мог бы получить дамп зашифрованных данных, но это не принесло бы им никакой пользы, поскольку у них не было бы возможности использовать его. *
Так что нет, сотрудники Google не могут ** получить доступ к вашим паролям, поскольку они зашифрованы на их серверах.
* Однако не забывайте, что к любой системе, к которой имеет доступ авторизованный пользователь, может получить доступ неавторизованный пользователь. Некоторые системы легче сломать, чем другие, но ни одна из них не является отказоустойчивой. . . При этом я думаю, что буду доверять Google и тем миллионам, которые они тратят на системы безопасности, как любому другому решению для хранения паролей. И, черт возьми, я слабый ботаник, было бы легче выбить из меня пароли, чем взломать шифрование Google.
** Я также предполагаю, что нет человека, который просто работает на Google, чтобы получить доступ к вашему локальному компьютеру. В этом случае вы облажались, но работа в Google на самом деле больше не имеет значения. Мораль: хит Выиграть + L перед выездом из машины.
Хотя мы согласны с zeel в том, что это довольно безопасная ставка (при условии, что ваш компьютер не взломан), что ваши пароли действительно безопасны при хранении в Chrome, мы предпочитаем шифровать все наши логины и пароли в Хранилище LastPass .
Есть что добавить к объяснению? Отключи в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .
