Lưu trữ mật khẩu của bạn trong trình duyệt web có vẻ như là một cách tiết kiệm thời gian tuyệt vời, nhưng liệu mật khẩu có an toàn và không thể truy cập được đối với những người khác (ngay cả nhân viên của công ty trình duyệt) khi bị mất?
Phiên Hỏi & Đáp hôm nay đến với chúng tôi với sự hỗ trợ của SuperUser — một phần của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng điều hành.
Câu hỏi
Người đọc SuperUser MMA tò mò liệu nhân viên của Google có (hoặc có thể có) quyền truy cập vào mật khẩu mà anh ta lưu trữ trong Google Chrome hay không:
Tôi hiểu rằng chúng tôi thực sự muốn lưu mật khẩu của bạn trong Google Chrome. Lợi ích có thể là gấp hai lần,
- Bạn không cần phải (ghi nhớ và) nhập những mật khẩu dài và khó hiểu đó.
- Những thứ này có sẵn mọi lúc mọi nơi khi bạn đăng nhập vào tài khoản Google của mình.
Điểm cuối cùng làm tôi nghi ngờ. Vì mật khẩu có sẵn bất cứ nơi nào , bộ nhớ phải ở một số vị trí trung tâm và điều này phải ở Google.
Bây giờ, câu hỏi đơn giản của tôi là, nhân viên của Google có thể xem mật khẩu của tôi không?
Tìm kiếm trên Internet cho thấy một số bài báo / tin nhắn.
- Bạn có lưu mật khẩu trong Chrome không? Có lẽ bạn nên xem xét lại : Nói về việc mật khẩu của bạn bị đánh cắp bởi ai đó có quyền truy cập vào tài khoản máy tính của bạn. Không có gì được đề cập về bảo mật và lỗ hổng lưu trữ trung tâm. Thậm chí còn có phản hồi từ lãnh đạo công nghệ bảo mật của trình duyệt Chrome về vấn đề đầu tiên.
- Chiến lược bảo mật mật khẩu điên rồ của Chrome : Chủ yếu là cùng một dòng. Bạn có thể đánh cắp mật khẩu từ ai đó nếu bạn có quyền truy cập vào tài khoản máy tính.
- Cách lấy cắp mật khẩu đã lưu trong Google Chrome trong 5 bước đơn giản : Hướng dẫn bạn cách thực hiện hành động đã đề cập trong hai phần trước khi bạn có quyền truy cập vào tài khoản của người khác.
Còn nhiều nữa (bao gồm cái này tại trang web này ), chủ yếu là dọc theo cùng một đường thẳng, điểm, phản điểm, tranh luận lớn. Tôi không đề cập đến chúng ở đây, chỉ cần thực hiện tìm kiếm nếu bạn muốn tìm thấy chúng.
Quay lại truy vấn ban đầu của tôi, nhân viên Google có thể xem mật khẩu của tôi không? Vì tôi có thể xem mật khẩu bằng một nút đơn giản, nên chắc chắn chúng có thể không được băm (giải mã) ngay cả khi được mã hóa. Điều này rất khác với mật khẩu được lưu trong Hệ điều hành giống Unix, nơi mật khẩu đã lưu không bao giờ có thể được nhìn thấy dưới dạng văn bản thuần túy.
Họ sử dụng thuật toán mã hóa một chiều để mã hóa mật khẩu của bạn. Mật khẩu được mã hóa này sau đó được lưu trữ trong tệp mật khẩu hoặc tệp bóng. Khi bạn cố gắng đăng nhập, mật khẩu bạn nhập vào sẽ được mã hóa lại và được so sánh với mục nhập trong tệp lưu trữ mật khẩu của bạn. Nếu chúng khớp, nó phải cùng một mật khẩu và bạn được phép truy cập. Vì vậy, một siêu người dùng có thể thay đổi mật khẩu của tôi, có thể chặn tài khoản của tôi, nhưng anh ta không bao giờ có thể nhìn thấy mật khẩu của tôi.
Vậy những mối quan tâm của anh ấy có cơ sở hay một chút sáng suốt sẽ xua tan nỗi lo lắng của anh ấy?
Câu trả lời
Cộng tác viên của SuperUser, Zeel giúp đầu óc anh ấy thoải mái:
Câu trả lời ngắn gọn: Không *
Mật khẩu được lưu trữ trên máy cục bộ của bạn có thể được Chrome giải mã, miễn là tài khoản người dùng OS của bạn được đăng nhập. Và sau đó, bạn có thể xem những mật khẩu đó ở dạng văn bản thuần túy. Lúc đầu, điều này có vẻ kinh khủng, nhưng bạn nghĩ tính năng tự động điền hoạt động như thế nào? Khi trường mật khẩu đó được điền vào, Chrome phải chèn mật khẩu thực vào phần tử biểu mẫu HTML - nếu không trang sẽ không hoạt động bình thường và bạn không thể gửi biểu mẫu. Và nếu kết nối đến trang web không qua HTTPS, văn bản thuần túy sau đó sẽ được gửi qua internet. Nói cách khác, nếu chrome không thể lấy mật khẩu văn bản thuần túy, thì chúng hoàn toàn vô dụng. Hàm băm một chiều là không tốt, vì chúng ta cần sử dụng chúng.
Bây giờ mật khẩu trên thực tế đã được mã hóa, cách duy nhất để đưa chúng trở lại văn bản thuần túy là có khóa giải mã. Khóa đó là mật khẩu Google của bạn hoặc khóa phụ mà bạn có thể thiết lập. Khi bạn đăng nhập vào Chrome và đồng bộ hóa, các máy chủ của Google sẽ truyền được mã hóa mật khẩu, cài đặt, dấu trang, tự động điền, v.v. vào máy cục bộ của bạn. Tại đây Chrome sẽ giải mã thông tin và sử dụng được.
Về mặt Google, tất cả thông tin đó được lưu trữ ở trạng thái được mã hóa và họ không có chìa khóa để giải mã thông tin đó. Mật khẩu tài khoản của bạn được kiểm tra dựa trên băm để đăng nhập vào Google và ngay cả khi bạn để chrome nhớ mật khẩu đó, phiên bản mã hóa đó vẫn bị ẩn trong cùng một gói với các mật khẩu khác, không thể truy cập được. Vì vậy, một nhân viên có thể lấy được một kho dữ liệu đã mã hóa, nhưng điều đó sẽ không tốt cho họ, vì họ sẽ không có cách nào để sử dụng nó. *
Vì vậy, không, nhân viên của Google không thể ** truy cập mật khẩu của bạn, vì chúng được mã hóa trên máy chủ của họ.
* Tuy nhiên, đừng quên rằng bất kỳ hệ thống nào có thể được truy cập bởi người dùng được ủy quyền đều có thể bị truy cập bởi người dùng trái phép. Một số hệ thống dễ hỏng hơn các hệ thống khác, nhưng không có hệ thống nào chống được lỗi. . . Nói như vậy, tôi nghĩ tôi sẽ tin tưởng Google và hàng triệu người mà họ chi cho các hệ thống bảo mật, hơn bất kỳ giải pháp lưu trữ mật khẩu nào khác. Và chết tiệt, tôi là một tên mọt sách lém lỉnh, sẽ dễ dàng đánh bại mật khẩu của tôi hơn là phá vỡ mã hóa của Google.
** Tôi cũng giả định rằng không có ai tình cờ làm việc cho Google có được quyền truy cập vào máy cục bộ của bạn. Trong trường hợp đó, bạn cảm thấy khó chịu, nhưng việc làm tại Google thực sự không còn là một yếu tố nữa. Đạo đức: Lượt Thắng lợi + L trước khi rời khỏi máy.
Mặc dù chúng tôi đồng ý với zeel rằng đó là một đặt cược khá an toàn (miễn là máy tính của bạn không bị xâm phạm) rằng mật khẩu của bạn trên thực tế an toàn khi được lưu trữ trong Chrome, chúng tôi muốn mã hóa tất cả thông tin đăng nhập và mật khẩu của mình trong LastPass vault .
Có điều gì đó để thêm vào lời giải thích? Tắt âm thanh trong các bình luận. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra toàn bộ chuỗi thảo luận tại đây .
