การจัดเก็บรหัสผ่านของคุณในเว็บเบราว์เซอร์ของคุณดูเหมือนจะช่วยประหยัดเวลาได้ดี แต่รหัสผ่านนั้นปลอดภัยและไม่สามารถเข้าถึงได้โดยผู้อื่น (แม้แต่พนักงานของ บริษัท เบราว์เซอร์) เมื่อถูกผลักออกไป?
เซสชันคำถามและคำตอบของวันนี้มาถึงเราโดยได้รับความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Stack Exchange ซึ่งเป็นการรวมกลุ่มเว็บไซต์ถาม & ตอบโดยชุมชน
คำถาม
SuperUser reader MMA สงสัยว่าพนักงานของ Google มี (หรืออาจมี) เข้าถึงรหัสผ่านที่เขาเก็บไว้ใน Google Chrome หรือไม่:
ฉันเข้าใจดีว่าเราอยากจะบันทึกรหัสผ่านของคุณใน Google Chrome จริงๆ ประโยชน์ที่เป็นไปได้คือสองเท่า
- คุณไม่จำเป็นต้อง (จดจำและ) ป้อนรหัสผ่านที่ยาวและเป็นความลับเหล่านั้น
- สิ่งเหล่านี้สามารถใช้ได้ทุกที่เมื่อคุณลงชื่อเข้าใช้บัญชี Google ของคุณ
จุดสุดท้ายจุดประกายความสงสัยของฉัน เนื่องจากรหัสผ่านสามารถใช้ได้ ได้ทุกที่ พื้นที่เก็บข้อมูลต้องอยู่ในตำแหน่งส่วนกลางและควรอยู่ที่ Google
คำถามง่ายๆของฉันคือพนักงาน Google สามารถดูรหัสผ่านของฉันได้หรือไม่
การค้นหาทางอินเทอร์เน็ตพบบทความ / ข้อความมากมาย
- คุณบันทึกรหัสผ่านใน Chrome หรือไม่ บางทีคุณควรพิจารณาใหม่ : พูดถึงรหัสผ่านของคุณที่ถูกขโมยโดยบุคคลที่มีสิทธิ์เข้าถึงบัญชีคอมพิวเตอร์ของคุณ ไม่มีการกล่าวถึงความปลอดภัยและช่องโหว่ของที่เก็บข้อมูลส่วนกลาง แม้กระทั่งคำตอบจากหัวหน้าฝ่ายเทคโนโลยีความปลอดภัยของเบราว์เซอร์ Chrome เกี่ยวกับปัญหาแรก
- กลยุทธ์การรักษาความปลอดภัยรหัสผ่านที่บ้าคลั่งของ Chrome : ส่วนใหญ่อยู่ในแนวเดียวกัน คุณสามารถขโมยรหัสผ่านจากบุคคลอื่นได้หากคุณสามารถเข้าถึงบัญชีคอมพิวเตอร์ได้
- วิธีขโมยรหัสผ่านที่บันทึกไว้ใน Google Chrome ใน 5 ขั้นตอนง่ายๆ : สอนวิธีการใช้งานไฟล์ พระราชบัญญัติ ที่กล่าวถึงในสองข้อก่อนหน้านี้เมื่อคุณสามารถเข้าถึงบัญชีของคนอื่นได้
มีอีกมากมาย (รวมถึง อันนี้ ที่ ไซต์นี้ ) โดยส่วนใหญ่จะอยู่ในแนวเดียวกันคะแนนจุดตอบโต้การโต้วาทีครั้งใหญ่ ฉันไม่พูดถึงพวกเขาที่นี่เพียงแค่ดำเนินการค้นหาหากคุณต้องการพบ
กลับมาที่คำถามเดิมของฉันพนักงาน Google จะเห็นรหัสผ่านของฉันได้ไหม เนื่องจากฉันสามารถดูรหัสผ่านโดยใช้ปุ่มธรรมดาจึงสามารถยกเลิกการแฮ็กได้ (ถอดรหัส) แม้ว่าจะเข้ารหัสแล้วก็ตาม ซึ่งแตกต่างอย่างมากจากรหัสผ่านที่บันทึกไว้ในระบบปฏิบัติการแบบ Unix ซึ่งไม่สามารถเห็นรหัสผ่านที่บันทึกไว้เป็นข้อความธรรมดาได้
พวกเขาใช้อัลกอริทึมการเข้ารหัสทางเดียว เพื่อเข้ารหัสรหัสผ่านของคุณ จากนั้นรหัสผ่านที่เข้ารหัสนี้จะถูกเก็บไว้ในไฟล์ passwd หรือ shadow เมื่อคุณพยายามเข้าสู่ระบบรหัสผ่านที่คุณพิมพ์จะถูกเข้ารหัสอีกครั้งและเปรียบเทียบกับรายการในไฟล์ที่เก็บรหัสผ่านของคุณ หากตรงกันต้องเป็นรหัสผ่านเดียวกันและคุณได้รับอนุญาตให้เข้าถึงได้ ดังนั้น superuser สามารถเปลี่ยนรหัสผ่านของฉันสามารถบล็อกบัญชีของฉัน แต่เขาไม่สามารถเห็นรหัสผ่านของฉัน
ดังนั้นความกังวลของเขาได้รับการยอมรับอย่างดีหรือความเข้าใจเพียงเล็กน้อยจะช่วยขจัดความกังวลของเขาได้?
คำตอบ
ผู้สนับสนุน SuperUser Zeel ช่วยให้เขาสบายใจ:
คำตอบสั้น ๆ : ไม่ *
รหัสผ่านที่จัดเก็บไว้ในเครื่องของคุณ Chrome สามารถถอดรหัสได้ตราบเท่าที่บัญชีผู้ใช้ OS ของคุณเข้าสู่ระบบจากนั้นคุณจะสามารถดูรหัสเหล่านั้นเป็นข้อความธรรมดาได้ ในตอนแรกสิ่งนี้ดูน่ากลัว แต่คุณคิดว่าการเติมอัตโนมัติทำงานอย่างไร เมื่อกรอกข้อมูลในช่องรหัสผ่าน Chrome จะต้องใส่รหัสผ่านจริงลงในองค์ประกอบรูปแบบ HTML ไม่เช่นนั้นหน้าจะทำงานไม่ถูกต้องและคุณไม่สามารถส่งแบบฟอร์มได้ และหากการเชื่อมต่อกับเว็บไซต์ไม่ผ่าน HTTPS ข้อความธรรมดาจะถูกส่งไปทางอินเทอร์เน็ต กล่าวอีกนัยหนึ่งคือหาก Chrome ไม่สามารถรับรหัสผ่านแบบข้อความธรรมดาได้ก็จะไม่มีประโยชน์โดยสิ้นเชิง แฮชทางเดียวไม่ดีเพราะเราจำเป็นต้องใช้มัน
ตอนนี้รหัสผ่านได้รับการเข้ารหัสแล้ววิธีเดียวที่จะทำให้พวกเขากลับมาเป็นข้อความธรรมดาได้คือการมีคีย์ถอดรหัส คีย์นั้นคือรหัสผ่าน Google ของคุณหรือคีย์รองที่คุณตั้งค่าได้ เมื่อคุณลงชื่อเข้าใช้ Chrome และซิงค์เซิร์ฟเวอร์ของ Google จะส่งไฟล์ เข้ารหัส รหัสผ่านการตั้งค่าบุ๊กมาร์กการเติมอัตโนมัติ ฯลฯ ไปยังเครื่องในพื้นที่ของคุณ ที่นี่ Chrome จะถอดรหัสข้อมูลและสามารถใช้งานได้
ในตอนท้ายของ Google ข้อมูลทั้งหมดนั้นจะถูกเก็บไว้ในสถานะที่เข้ารหัสและไม่มีคีย์ในการถอดรหัส รหัสผ่านบัญชีของคุณถูกตรวจสอบกับแฮชเพื่อเข้าสู่ระบบ Google และแม้ว่าคุณจะปล่อยให้ Chrome จำรหัสนั้นได้ แต่เวอร์ชันที่เข้ารหัสนั้นจะซ่อนอยู่ในกลุ่มเดียวกับรหัสผ่านอื่น ๆ ซึ่งไม่สามารถเข้าถึงได้ ดังนั้นพนักงานอาจคว้าข้อมูลที่เข้ารหัสไปทิ้งได้ แต่มันจะไม่ส่งผลดีใด ๆ เพราะพวกเขาจะไม่มีทางใช้ *
ไม่พนักงาน Google จึงไม่สามารถ ** เข้าถึงรหัสผ่านของคุณได้เนื่องจากมีการเข้ารหัสบนเซิร์ฟเวอร์ของตน
* อย่างไรก็ตามอย่าลืมว่าระบบใด ๆ ที่สามารถเข้าถึงได้โดยผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงได้โดยผู้ใช้ที่ไม่ได้รับอนุญาต บางระบบพังง่ายกว่าระบบอื่น แต่ไม่มีข้อผิดพลาดในการพิสูจน์ . . ดังที่กล่าวมาฉันคิดว่าฉันจะไว้วางใจ Google และอีกหลายล้านที่พวกเขาใช้จ่ายกับระบบรักษาความปลอดภัยมากกว่าโซลูชันการจัดเก็บรหัสผ่านอื่น ๆ และเฮ้ฉันเป็นคนโง่เขลามันจะง่ายกว่าที่จะเอาชนะรหัสผ่านจากฉันมากกว่าทำลายการเข้ารหัสของ Google
** ฉันยังสมมติว่าไม่มีคนที่เพิ่งทำงานให้ Google เข้าถึงเครื่องในพื้นที่ของคุณได้ ในกรณีนี้คุณรู้สึกแย่ แต่การจ้างงานที่ Google ไม่ได้เป็นปัจจัยสำคัญอีกต่อไป คุณธรรม: ตี ชนะ + ล ก่อนออกจากเครื่อง
แม้ว่าเราจะเห็นด้วยกับ zeel ว่าเป็นการเดิมพันที่ค่อนข้างปลอดภัย (ตราบใดที่คอมพิวเตอร์ของคุณไม่ถูกบุกรุก) ว่ารหัสผ่านของคุณปลอดภัยจริงในขณะที่เก็บไว้ใน Chrome แต่เราต้องการเข้ารหัสการเข้าสู่ระบบและรหัสผ่านทั้งหมดของเราใน ห้องนิรภัย LastPass .
มีสิ่งที่จะเพิ่มคำอธิบาย? ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange ที่เชี่ยวชาญด้านเทคโนโลยีคนอื่น ๆ หรือไม่? ดูกระทู้สนทนาฉบับเต็มได้ที่นี่ .
