Ar „Google“ darbuotojai gali peržiūrėti „Google“ išsaugotus „Google Chrome“ slaptažodžius?

Slaptažodžių saugojimas žiniatinklio naršyklėje atrodo kaip puikus laiko taupymas, bet ar slaptažodžiai yra saugūs ir neprieinami kitiems (net naršyklės įmonės darbuotojams), kai jie yra vingiuoti?

Šiandienos „Klausimų ir atsakymų“ sesija mums suteikiama pagal „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės sukurtą „Q&A“ svetainių grupavimą.

Klausimas

„SuperUser“ skaitytuvas „MMA“ smalsu, ar „Google“ darbuotojai turi (arba galėjo) turėti prieigą prie „Google Chrome“ saugomų slaptažodžių:

Suprantu, kad mes tikrai norime išsaugoti savo slaptažodžius „Google Chrome“. Tikėtina nauda yra du kartus,

• Jums nereikia (įsiminti ir) įvesti tuos ilgus ir slaptus slaptažodžius.
• Tai yra prieinama visur, kai tik prisijungsite prie „Google“ paskyros.

Paskutinis klausimas sukėlė mano abejones. Kadangi slaptažodis yra prieinamas bet kur, saugykla turi būti centrinėje vietoje, o tai turėtų būti „Google“.

Dabar, mano paprastas klausimas, ar „Google“ darbuotojas gali matyti mano slaptažodžius?

Paieška internete atskleidė keletą straipsnių / pranešimų.

• Ar „Chrome“ išsaugote slaptažodžius? Galbūt turėtumėte persvarstyti: kalbės apie tai, kad jūsų slaptažodžius pavogia asmuo, turintis prieigą prie jūsų kompiuterio paskyros. Niekas nepaminėjo centrinio saugojimo saugumo ir pažeidžiamumo. Yra netgi atsakymas iš „Chrome“ naršyklės saugumo technologijų vadovo dėl pirmojo klausimo.
• „Chrome“ slapta slaptažodžio saugumo strategija: dažniausiai toje pačioje eilutėje. Jei turite prieigą prie kompiuterio abonemento, galite pavogti slaptažodį iš kažkieno.
• Kaip pavogti „Google Chrome“ išsaugotus slaptažodžius per 5 paprastus veiksmus: moko, kaip iš tikrųjų atlikti veikti paminėta ankstesnėse dviejose vietose, kai turite prieigą prie kito asmens sąskaitos.

Yra daug daugiau (įskaitant šį šioje svetainėje), daugiausia tuo pačiu požiūriu, punktai, priešiniai punktai, didžiulės diskusijos. Aš čia nepaminėsiu, tiesiog atlikite paiešką, jei norite juos rasti.

Grįžęs prie mano pradinio užklausos, ar „Google“ darbuotojas gali pamatyti mano slaptažodį? Kadangi galiu peržiūrėti slaptažodį naudojant paprastą mygtuką, jie tikrai gali būti atšaukti (iššifruoti) net ir užšifruojant. Tai labai skiriasi nuo slaptažodžių, išsaugotų Unix tipo OS, kur išsaugotas slaptažodis niekada negali būti matomas paprastu tekstu.

Slaptažodžių šifravimui jie naudoja vienpusį šifravimo algoritmą. Tuomet šis užšifruotas slaptažodis saugomas passwd arba šešėlio faile. Kai bandote prisijungti, slaptažodis, kurį įvedate, yra šifruojamas ir lyginamas su įrašu faile, kuriame saugomi jūsų slaptažodžiai. Jei jie sutampa, jis turi būti tas pats slaptažodis, ir jums leidžiama naudotis. Taigi, naudotojas gali pakeisti savo slaptažodį, blokuoti savo paskyrą, bet jis niekada negali matyti mano slaptažodžio.

Taigi, ar jo susirūpinimas yra pagrįstas, ar šiek tiek įžvalgos išsklaidys jo nerimą?

Atsakymas

„SuperUser“ prisidėjėjas „Zeel“ padeda atsiminti:

Trumpas atsakymas: Ne *

Vietiniame kompiuteryje saugomus slaptažodžius galima iššifruoti „Chrome“, jei jūsų OS naudotojo paskyra yra prisijungusi. Tada galite peržiūrėti juos paprastu tekstu. Iš pradžių tai atrodo baisu, bet kaip, jūsų manymu, automatiškai užpildyta? Užpildžius šį slaptažodžio lauką, „Chrome“ į HTML formos elementą turi įterpti tikrąjį slaptažodį - kitaip puslapis neveiks teisingai ir negalėsite pateikti formos. Ir jei ryšys su svetaine nėra virš HTTPS, tada paprastas tekstas siunčiamas internetu. Kitaip tariant, jei chromas negali gauti paprasto teksto slaptažodžių, jie yra visiškai nenaudingi. Vieno būdo maišas nėra geras, nes turime juos naudoti.

Dabar slaptažodžiai yra užšifruoti, vienintelis būdas juos grįžti į paprastą tekstą yra turėti iššifravimo raktą. Šis raktas yra „Google“ slaptažodis arba antrinis raktas, kurį galite nustatyti. Kai prisijungiate prie „Chrome“ ir sinchronizuosite „Google“ serverius šifruotas slaptažodžius, nustatymus, žymes, automatinį užpildymą ir pan. Čia „Chrome“ iššifruos informaciją ir galės ją naudoti.

„Google“ pabaigoje visa ši informacija yra saugoma jos užklijuotoje būsenoje, ir jie neturi raktų jį iššifruoti. Jūsų paskyros slaptažodis tikrinamas pagal „hash“, kad galėtumėte prisijungti prie „Google“, ir net jei leiskite chromui prisiminti, kad užšifruota versija paslėpta toje pačioje pakuotėje kaip ir kiti slaptažodžiai, kurių neįmanoma pasiekti. Taigi darbuotojas, tikriausiai, galėtų paimti šifruotų duomenų sąvartyną, tačiau jis jiems nepadarytų jokios naudos, nes jie neturėtų jokios galimybės jį naudoti. *

Taigi, „Google“ darbuotojai negali ** pasiekti jūsų slaptažodžių, nes jie yra užšifruoti jų serveriuose.

* Tačiau nepamirškite, kad bet kurią sistemą, prie kurios gali prisijungti įgaliotasis vartotojas, gali pasiekti nesankcionuotas naudotojas. Kai kurios sistemos yra lengviau lūžtos nei kitos, tačiau nė viena iš jų nėra sugedusi. Todėl, manau, pasitikiu „Google“ ir milijonais, kuriuos jie praleidžia saugumo sistemoms, per bet kurį kitą slaptažodžių saugojimo sprendimą. Ir gi, aš esu baisus nerdas, būtų lengviau nugalėti slaptažodžius iš manęs, nei pertraukti „Google“ šifravimą.

** Aš taip pat darau prielaidą, kad nėra asmens, kuris tiesiog atsitiktų, kad „Google“ gautų prieigą prie jūsų vietinės mašinos. Tokiu atveju esate prisukamas, bet užimtumas „Google“ iš tikrųjų nėra veiksnys. Moralinis: prieš palikdami mašiną, nugalėkite Win + L.

Nors sutinkame su „zeel“, kad tai yra gana saugus statymas (jei jūsų kompiuteris nebus pažeistas), kad jūsų slaptažodžiai iš tikrųjų yra saugūs saugant „Chrome“, mes norėtume užšifruoti visus mūsų prisijungimus ir slaptažodžius „LastPass“ skyde.

Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.