Att lagra dina lösenord i din webbläsare verkar som en bra tidsbesparing, men är lösenorden säkra och oåtkomliga för andra (även anställda i webbläsarföretaget) när de snurrar sig bort?
Dagens Fråga & Svar-session kommer till oss med tillstånd av SuperUser - en underavdelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsaren MMA är nyfiken på om Googles anställda har (eller kan ha) tillgång till lösenorden som han lagrar i Google Chrome:
Jag förstår att vi verkligen är frestade att spara dina lösenord i Google Chrome. Den troliga fördelen är tvåfaldig,
- Du behöver inte (memorera och) mata in dessa långa och kryptiska lösenord.
- Dessa är tillgängliga var du än är när du loggar in på ditt Google-konto.
Den sista punkten väckte mitt tvivel. Eftersom lösenordet är tillgängligt var som helst måste lagringen på någon central plats, och detta borde finnas hos Google.
Nu är min enkla fråga, kan en Google-anställd se mina lösenord?
Att söka över Internet avslöjade flera artiklar / meddelanden.
- Sparar du lösenord i Chrome? Du kanske borde ompröva : Pratar om att dina lösenord blir stulna av någon som har tillgång till ditt datorkonto. Ingenting nämns om den centrala lagringssäkerheten och sårbarheten. Det finns till och med ett svar från Chrome-webbläsarens säkerhetstekniska ledning om det första problemet.
- Chromes galen lösenordsstrategi : Mestadels längs samma linje. Du kan stjäla lösenord från någon om du har tillgång till datorkontot.
- Så här stjäl du lösenord som sparats i Google Chrome i 5 enkla steg : Lär dig hur du faktiskt utför spela teater nämnts i de två föregående när du har tillgång till någon annans konto.
Det finns många fler (inklusive den här på denna sajt ), mestadels längs samma linje, poäng, motpunkter, enorma debatter. Jag avstår från att nämna dem här, gör bara en sökning om du vill hitta dem.
Kommer jag tillbaka till min ursprungliga fråga, kan en Google-anställd se mitt lösenord? Eftersom jag kan se lösenordet med en enkel knapp kan de definitivt tas bort (dekrypteras) även om de är krypterade. Detta skiljer sig mycket från de lösenord som sparats i Unix-liknande operativsystem där det sparade lösenordet aldrig kan ses i klartext.
De använder en enkelriktad krypteringsalgoritm för att kryptera dina lösenord. Detta krypterade lösenord lagras sedan i passwd- eller skuggfilen. När du försöker logga in krypteras lösenordet du skriver in igen och jämförs med posten i filen som lagrar dina lösenord. Om de matchar måste det vara samma lösenord och du får åtkomst. Således kan en superanvändare ändra mitt lösenord, blockera mitt konto, men han kan aldrig se mitt lösenord.
Så är hans bekymmer välgrundade eller kommer lite insikt att skingra hans oro?
Svaret
SuperUser-bidragsgivaren Zeel hjälper till att lugna sig:
Kort svar: Nej *
Lösenord som lagras på din lokala maskin kan dekrypteras av Chrome, så länge ditt OS-användarkonto är inloggat. Och sedan kan du se dem i klartext. Först verkar detta hemskt, men hur tyckte du att autofyllning fungerade? När lösenordsfältet fylls i måste Chrome infoga det riktiga lösenordet i HTML-formulärelementet - annars fungerar inte sidan korrekt och du kan inte skicka in formuläret. Och om anslutningen till webbplatsen inte sker via HTTPS skickas vanlig text över internet. Med andra ord, om krom inte kan få lösenord för enkel text, är de helt värdelösa. En hash är inte bra, för vi måste använda dem.
Nu är lösenorden faktiskt krypterade, det enda sättet att få tillbaka dem till vanlig text är att ha dekrypteringsnyckeln. Den nyckeln är ditt Google-lösenord eller en sekundär nyckel som du kan ställa in. När du loggar in på Chrome och synkroniserar kommer Googles servrar att överföra krypterad lösenord, inställningar, bokmärken, automatisk fyllning, etc, till din lokala maskin. Här dekrypterar Chrome informationen och kan använda den.
I Googles ände lagras all den informationen i sitt krypterade tillstånd, och de har inte nyckeln för att dekryptera den. Ditt kontolösenord kontrolleras mot en hash för att logga in på Google, och även om du låter Chrome komma ihåg det, är den krypterade versionen dold i samma paket som de andra lösenorden, omöjlig att komma åt. Så en anställd kan förmodligen ta en dumpning av de krypterade uppgifterna, men det skulle inte göra dem något bra, eftersom de inte skulle kunna använda dem. *
Så nej, Googles anställda kan inte ** få åtkomst till dina lösenord, eftersom de är krypterade på sina servrar.
* Glöm inte att alla system som kan nås av en auktoriserad användare kan nås av en obehörig användare. Vissa system är lättare att bryta än andra, men inga är felsäkra. . . Med detta sagt tror jag att jag kommer att lita på Google och de miljoner de spenderar på säkerhetssystem över alla andra lösenordslösningar. Och jävla, jag är en knasig nörd, det skulle vara lättare att slå lösenorden ur mig än att bryta Googles kryptering.
** Jag antar också att det inte finns någon som bara råkar arbeta för Google för att få tillgång till din lokala maskin. I så fall är du orolig, men anställning hos Google är faktiskt inte en faktor längre. Moral: Hit Vinna + L innan du lämnar maskinen.
Medan vi håller med zeel att det är en ganska säker satsning (så länge din dator inte äventyras) att dina lösenord faktiskt är säkra när de lagras i Chrome, föredrar vi att kryptera alla våra inloggningar och lösenord i en LastPass valv .
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa fler svar från andra tekniskt kunniga Stack Exchange-användare? Kolla in hela diskussionstråden här .
