A Google Alkalmazottak megtekinthetik a mentett Google Chrome jelszavakat?

A jelszavak tárolása webböngészőjében nagyszerű időmegtakarítónak tűnik, de a jelszavak biztonságosak és hozzáférhetetlenek másoknak (még a böngésző cég munkatársainak is), ha mókásak.?

A mai Kérdések és válaszok munkamenet a Jóvagyon - a Stack Exchange alosztályának, a közösség által vezérelt Q&A webhelyek csoportjának köszönhetően..

A kérdés

A SuperUser olvasó MMA kíváncsi, ha a Google alkalmazottai hozzáférnek-e a Google Chrome-ban tárolt jelszavakhoz (vagy lehetnek).

Megértem, hogy valóban kísértésnek tartjuk, hogy a Google Chrome-ba mentjük a jelszavakat. A várható előny kétszoros,

• Nem kell (hosszú időn belül megemlítenie és beírnia) a hosszú és titkos jelszavakat.
• Ezek elérhetőek bárhol is, amikor egyszer bejelentkezik a Google-fiókjába.

Az utolsó pont felvetette a kétségemet. Mivel a jelszó elérhető bárhol, a tárolásnak bizonyos központi helyen kell lennie, és ennek a Google-nak kell lennie.

Az egyszerű kérdésem az, hogy a Google alkalmazottja láthatja-e a jelszavamat?

Az interneten történő keresés több cikket / üzenetet is feltárott.

• Elmenti a jelszavakat a Chrome-ban? Talán újra meg kell vizsgálnia: Beszélgetések arról, hogy a jelszavakat ellopja valaki, aki hozzáfér a számítógépes fiókjához. Semmi nem említette a központi tárolási biztonságot és a sérülékenységet. Még a Chrome böngésző biztonsági technológiai vezetője is válaszol az első kérdésre.
• A Chrome őrült jelszavas biztonsági stratégiája: Többnyire ugyanabban a sorban. Elfelejtheti a jelszót valakitől, ha hozzáfér a számítógépes fiókhoz.
• A Google Chrome-ban tárolt jelszavak 5 egyszerű lépésben történő ellopása: Megtanítja, hogyan kell ténylegesen végrehajtani a Google Chrome-ot törvény az előzőekben említetteknél, ha valaki más fiókjához hozzáfér.

Sokkal több (beleértve ezt a címet is) ez az oldal), többnyire ugyanazon a soron, pontokon, ellenpontokon, óriási vitákon. Itt nem említem őket, egyszerűen keressük meg a keresést, ha meg akarod találni őket.

Visszatérve az eredeti lekérdezésemre, a Google alkalmazottja láthatja a jelszavamat? Mivel a jelszót egy egyszerű gombbal tekinthetem meg, feltétlenül titkosítva is feltárhatók (dekódolhatók). Ez nagyon különbözik a Unix-szerű operációs rendszereken tárolt jelszavaktól, ahol a mentett jelszót soha nem láthatjuk egyszerű szövegben.

Egyirányú titkosítási algoritmust használnak a jelszavak titkosításához. Ezt a titkosított jelszót ezután a passwd vagy árnyékfájl tárolja. Amikor bejelentkezik, a beírt jelszó ismét titkosítva van, és összehasonlításra kerül a jelszavakat tároló fájl bejegyzéseivel. Ha megegyeznek, akkor ugyanazt a jelszót kell megadnia, és hozzáférhet. Így a szuperfelhasználó megváltoztathatja a jelszavamat, blokkolhatja a fiókomat, de soha nem látja a jelszavamat.

Szóval megalapozottak az aggályai, vagy egy kis betekintés eloszlatja az aggodalmát?

A válasz

A ZUU SuperUser közreműködője könnyedén meggondolja magát:

Rövid válasz: Nem *

A helyi gépen tárolt jelszavak a Chrome által dekódolhatók, mindaddig, amíg az operációs rendszer felhasználói fiókja be van jelentkezve. Először ez szörnyűnek tűnik, de mit gondoltál az automatikus kitöltéssel? Amikor a jelszómező kitöltésre kerül, a Chrome-nak be kell illesztenie a valódi jelszót a HTML formanyomtatványba - vagyis az oldal nem működik megfelelően, és nem tudta benyújtani az űrlapot. És ha a weboldalhoz való kapcsolódás nem a HTTPS-en keresztül történik, az egyszerű szöveg az interneten keresztül kerül elküldésre. Más szóval, ha a króm nem kapja meg az egyszerű szöveges jelszavakat, akkor teljesen haszontalanok. Egyirányú hash nem jó, mert használnunk kell őket.

Most a jelszavak valójában titkosítottak, az egyetlen módja annak, hogy visszajuttassuk őket az egyszerű szövegre, hogy a dekódoló kulcs legyen. Ez a kulcs a Google jelszava, vagy egy másodlagos kulcs, amelyet beállíthat. Amikor bejelentkezik a Chrome-ba, és a szinkronizálással a Google szerverek továbbítják a titkosított jelszavak, beállítások, könyvjelzők, automatikus kitöltés stb. a helyi gépre. Itt a Chrome dekódolja az információt és képes lesz használni.

A Google végére az összes információ tárolva van a titkosított állapotban, és nincs kulcsuk a dekódoláshoz. A Google-fiókba való bejelentkezéshez a fiókjához tartozó jelszót egy hash ellen kell ellenőrizni, és még ha azt is megengedi, hogy a króm emlékezzen rá, akkor a titkosított verzió ugyanabban a csomagban van elrejtve, mint a többi jelszó. Tehát egy alkalmazott valószínűleg megragadta a titkosított adatok eldobását, de nem csinálna nekik semmit, mert nem lenne módja használni.

Tehát nem, a Google alkalmazottai nem tudnak ** hozzáférni a jelszavaihoz, mivel azok a szervereiken vannak titkosítva.

* Ne feledje azonban, hogy a jogosult felhasználók által elérhető bármely rendszerhez jogosulatlan felhasználó férhet hozzá. Néhány rendszer könnyebben megtörhető, mint a többi, de egyik sem meghibásodott… Azt hiszem, azt hiszem, bízom a Google-ban és a több millióra, amit a biztonsági rendszerekre töltenek, mint bármely más jelszótároló megoldás. És heck, én szörnyű majom vagyok, könnyebb lenne megverni a jelszavamat, mint a Google titkosítását.

** Feltételezem továbbá, hogy nincs olyan személy, aki éppen úgy dolgozik, hogy a Google hozzáférjen a helyi gépéhez. Ebben az esetben csavarodik, de a Google-ban a foglalkoztatás már nem tényező. Erkölcsi: Hit Win + L előtt elhagyja a gépet.

Míg egyetértünk a zeel-szel, hogy ez egy elég biztonságos tét (amíg a számítógép nem sérül), hogy a jelszavai valóban biztonságosak a Chrome-on tárolt állapotban, előnyben részesítjük az összes bejelentkezésünk és jelszavunk titkosítását egy LastPass boltozatban.

Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.