Зберігання ваших паролів у веб-браузері здається чудовою економією часу, але чи безпечні та недоступні для інших (навіть працівників компанії-браузера) паролі, коли викручуються?
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Питання
Читач SuperUser MMA цікаво, чи мають (чи можуть мати) доступ до паролів, які він зберігає в Google Chrome:
Я розумію, що нас справді спокушає зберегти ваші паролі в Google Chrome. Ймовірна вигода в два рази,
- Вам не потрібно (запам’ятовувати та) вводити ці довгі та загадкові паролі.
- Вони доступні скрізь, коли ви входите у свій обліковий запис Google.
Останній пункт викликав у мене сумнів. Оскільки пароль доступний де завгодно , сховище повинно бути в якомусь центральному місці, і це має бути в Google.
Тепер моє просте запитання: чи може співробітник Google бачити мої паролі?
Під час пошуку в Інтернеті виявлено кілька статей / повідомлень.
- Чи зберігаєте ви паролі в Chrome? Можливо, вам слід переглянути : Розповідає про те, що ваші паролі викрав той, хто має доступ до вашого облікового запису комп’ютера. Нічого не згадується про безпеку та вразливість центрального сховища. Про першу проблему навіть надійшов відгук керівника технічної служби безпеки браузера Chrome.
- Божевільна стратегія безпеки Chrome : Здебільшого за тією ж лінією. Ви можете вкрасти у когось пароль, якщо маєте доступ до облікового запису комп’ютера.
- Як викрасти паролі, збережені в Google Chrome, за 5 простих кроків : Навчає вас, як насправді виконувати діяти згадані в попередніх двох, коли ви маєте доступ до чужого облікового запису.
Є набагато більше (в тому числі цей в цей сайт ), переважно по одній лінії, пункти, контрапункти, величезні дискусії. Я утримуюся від згадування їх тут, просто проведіть пошук, якщо ви хочете їх знайти.
Повертаючись до мого початкового запиту, чи може співробітник Google побачити мій пароль? Оскільки я можу переглядати пароль за допомогою простої кнопки, їх однозначно можна негешувати (дешифрувати), навіть якщо зашифровано. Це сильно відрізняється від паролів, збережених у Unix-подібних ОС, де збережений пароль ніколи не можна побачити у простому тексті.
Вони використовують односторонній алгоритм шифрування для шифрування паролів. Потім цей зашифрований пароль зберігається у файлі passwd або тіні. При спробі входу в систему пароль, який ви вводите, знову зашифровується і порівнюється із записом у файлі, що зберігає ваші паролі. Якщо вони збігаються, це повинен бути той самий пароль, і ви маєте доступ. Таким чином, суперкористувач може змінити мій пароль, може заблокувати мій рахунок, але він ніколи не зможе побачити мій пароль.
Тож чи його побоювання обгрунтовані, чи трохи розуміння розвіє його занепокоєння?
Відповідь
Співавтор SuperUser Zeel допомагає розслабитися:
Коротка відповідь: Ні *
Паролі, що зберігаються на вашому локальному комп'ютері, можуть розшифровуватися Chrome, якщо ваш обліковий запис користувача ОС увійшов в систему. А потім ви можете переглядати їх у вигляді простого тексту. Спочатку це здається жахливим, але як, на вашу думку, спрацювало автоматичне заповнення? Коли це поле пароля буде заповнене, Chrome повинен вставити справжній пароль в елемент форми HTML - інакше сторінка не буде працювати належним чином, і ви не зможете надіслати форму. І якщо з’єднання з веб-сайтом відбувається не через HTTPS, то звичайний текст надсилається через Інтернет. Іншими словами, якщо chrome не може отримати паролі простого тексту, то вони абсолютно марні. Хеш в одному напрямку не є корисним, тому що нам потрібно їх використовувати.
Тепер паролі фактично зашифровані, єдиним способом повернути їх до простого тексту є наявність ключа розшифровки. Цей ключ є вашим паролем Google або вторинним ключем, який ви можете налаштувати. Після входу в Chrome і синхронізації сервери Google передаватимуть файл зашифровано паролі, налаштування, закладки, автозаповнення тощо на локальну машину. Тут Chrome розшифрує інформацію та зможе її використовувати.
З кінця Google вся ця інформація зберігається в зашифрованому стані, і вони не мають ключа для її розшифровки. Пароль вашого облікового запису перевіряється на основі хешу для входу в Google, і навіть якщо ви дозволите chrome запам’ятати його, ця зашифрована версія захована в тому ж пакеті, що й інші паролі, доступ до яких неможливий. Отже, працівник, можливо, міг би захопити звалище зашифрованих даних, але це не принесло б їм жодної користі, оскільки вони не мали б можливості їх використовувати.
Так що ні, співробітники Google не можуть ** отримати доступ до ваших паролів, оскільки вони зашифровані на своїх серверах.
* Однак не забувайте, що будь-яка система, до якої може отримати доступ авторизований користувач, може отримати доступ неавторизований користувач. Деякі системи легше зламати, ніж інші, але жодна не є захищеною. . . З огляду на це, я думаю, що буду довіряти Google і мільйонам, які вони витрачають на системи безпеки, в порівнянні з будь-яким іншим рішенням для зберігання паролів. І, чорт вазьмі, я хитрий ботанік, було б простіше вибити з мене паролі, ніж зламати шифрування Google.
** Я також припускаю, що немає людини, яка просто працює в Google, щоб отримати доступ до вашої локальної машини. У такому випадку вас обернули, але працевлаштування в Google насправді вже не є фактором. Мораль: Хіт Виграй + L перед виходом з машини.
Незважаючи на те, що ми погоджуємось із Zeel, що це цілком безпечна ставка (якщо ваш комп’ютер не скомпрометований), що ваші паролі насправді безпечні під час зберігання в Chrome, ми воліємо шифрувати всі наші логіни та паролі в Сховище LastPass .
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
