4Aug
Laikydami slaptažodžius savo žiniatinklio naršyklėje, atrodo, kad yra puikus laiko taupymo priemonė, tačiau ar slaptažodžiai yra saugūs ir neprieinami kitiems( net naršyklės įmonės darbuotojai), kai jie susižavėjo?
Šiandienos klausimas &Atsakymų sesija ateina pas mus iš "SuperUser" - "Stack Exchange", bendruomenės pagrįstos "Q & A" svetainių grupės pasidalijimo.
Klausimas
SuperUser skaitytojas MMA smalsu, jei "Google" darbuotojai turi( arba galėjo) susipažinti su slaptažodžiais, kuriuos jis saugo "Google Chrome":
Aš suprantu, kad mes iš tiesų norime išsaugoti savo slaptažodžius "Google Chrome".Tikėtina nauda yra dvigubai didesnė,
- Jums nereikia( įsiminti ir) įvesti tuos ilgus ir paslaptingus slaptažodžius.
- Tai yra visur, kur tik esate prisijungę prie savo "Google" paskyros.
Paskutinis klausimas sukėlė mano abejones. Kadangi slaptažodis yra visame , saugykla turi būti centrinėje vietoje, o tai turėtų būti "Google".
Dabar mano paprastas klausimas yra, ar "Google" darbuotojas gali matyti mano slaptažodžius?
Per internetą atskleidė keletą straipsnių / pranešimų.
- Ar išsaugojote slaptažodžius "Chrome"?Galbūt jūs turėtumėte persvarstyti: kalbama apie jūsų slaptažodžius, kuriuos pavogė tas, kuris turi prieigą prie jūsų kompiuterio paskyros. Niekas nepaminėta apie centrinį saugyklos saugumą ir pažeidžiamumą.Iš pirmojo klausimo yra netgi atsakas iš "Chrome" naršyklės saugumo technologijų.
- "Chrome" psichikos slaptažodžio saugumo strategija: daugiausia pagal tą pačią eilutę.Jūs galite pavogti slaptažodį iš asmens, jei turite prieigą prie kompiuterio paskyros.
- Kaip sugadinti "Google Chrome" išsaugotus slaptažodžius 5 paprastais veiksmais: išmoko, kaip iš tikrųjų atlikti veiksmą , paminėtą ankstesniuose dviejuose, kai turite prieigą prie kito asmens paskyros.
Yra daug daugiau( įskaitant ir šią, ir šioje svetainėje ), daugiausia toje pačioje eilutėje, taškuose, kontrpunkte, didžiulėse diskusijose. Aš susilaikau nuo paminėjimo čia, tiesiog atlikite paiešką, jei norite juos surasti.
Grįžęs prie mano pradinio užklausos, ar "Google" darbuotojas gali matyti mano slaptažodį?Kadangi galiu peržiūrėti slaptažodį naudodamas paprastą mygtuką, neabejotinai juos galima iškirpti( iššifruoti) net ir šifruojant. Tai labai skiriasi nuo slaptažodžių, išsaugotų "Unix" tipo operacinėse sistemose, kur saugomas slaptažodis niekada negali būti matomas paprastu tekstu.
Jie šifruoja slaptažodžius naudodami vienkryptį šifravimo algoritmą.Šis užšifruotas slaptažodis yra saugomas failo passwd arba shadow. Kai bandote prisijungti, įvestas slaptažodis vėl užkoduotas ir lyginamas su failo, kuriame saugomi jūsų slaptažodžiai, įrašą.Jei jie atitinka, jis turi būti tas pats slaptažodis, ir jums turi būti suteikta prieiga. Taigi, "superuser" gali pakeisti savo slaptažodį, gali blokuoti savo paskyrą, bet jis niekada negali matyti mano slaptažodžio.
Ar jo nuogąstavimai yra gerai pagrįsti, ar bus šiek tiek įžvalgos, kad išspręstų jo nerimą?
Atsakymas
SuperUser autorius Zeel padeda suvokti savo nuomonę:
Trumpas atsakymas: Ne *
slaptažodžius, saugomus jūsų vietiniame kompiuteryje, galima iššifruoti "Chrome", kol jūsų sistemos naudotojo paskyra prisijungiama. Tada galite peržiūrėti šiaspaprastame tekste. Iš pradžių tai atrodo siaubinga, bet kaip jūs manote, kad automatinis užpildymas dirbo? Kai tas slaptažodžio laukas užpildomas, "Chrome" turi įterpti tikrąjį slaptažodį į HTML formos elementą, arba, jei tinklalapis netinkamai veiktų, negalėsite pateikti formos. O jei ryšys su svetaine nėra per HTTPS, tada paprastas tekstas siunčiamas internetu. Kitaip tariant, jei "chromas" negalės gauti paprasto teksto slaptažodžio, tai yra visiškai nenaudingas. Vienu būdu maišas nėra geras, nes mes turime juos naudoti.
Dabar slaptažodžiai iš tikrųjų yra užkoduoti, vienintelis būdas grąžinti juos į paprastą tekstą - tai atskyrimo raktas.Šis raktas yra jūsų "Google" slaptažodis arba antrinis raktas, kurį galite nustatyti. Kai prisijungiate prie "Chrome" ir sinchronizuojate, "Google" serveriai jūsų vietiniam kompiuteriui perduos užšifruotus slaptažodžius, nustatymus, žymes, automatinį užpildymą ir tt.Čia "Chrome" iššifrins informaciją ir galės ją naudoti.
"Google" pabaigoje visa ši informacija saugoma jos užblokuotoje būsenoje, ir jos raktas nėra iššifruoti. Jūsų paskyros slaptažodis yra pažymėtas kaip hash, norint prisijungti prie "Google", ir net jei jūs leisite chrome jį prisiminti, ši užšifruota versija paslėpta toje pačioje pakuotėje kaip ir kiti slaptažodžiai, neįmanoma pasiekti. Taigi darbuotojas greičiausiai galėtų paimti užšifruotų duomenų sąvartyną, bet tai nebūtų naudinga, nes jie negalėtų jo naudoti. *
Taigi ne, "Google" darbuotojai negali ** pasiekti jūsų slaptažodžius, nes jieyra šifruojami jų serveriuose.
* Tačiau nepamirškite, kad prie bet kurios sistemos, prie kurios gali prisijungti įgaliotas vartotojas, gali naudotis neautorizuotas vartotojas. Kai kurioms sistemoms lengviau atsilaisvinti, nei kiti, tačiau nė vienas jų nėra sugedęs...Tai sakant, aš manau, kad aš pasitikiu "Google" ir milijonais, kuriuos jie išleidžia saugumo sistemoms, per bet kurį kitą slaptažodžių saugojimo sprendimą.Ir štai, aš esu wimpy nerd, būtų lengviau nugalėti slaptažodžius iš manęs, o ne nutraukti "Google" šifravimą.
** Aš taip pat manau, kad nėra asmens, kuris tiesiog atsitinka dirbti, kad "Google" galėtų pasiekti jūsų vietinį kompiuterį.Tokiu atveju esate užsukamas, bet "Google" užimtumas iš tikrųjų nėra veiksnys. Moral: Prieš palikdami mašiną, paspauskite "Win + L".
Nors mes sutinkame su zeel, kad tai yra gana saugus( jei jūsų kompiuteris nėra pažeistas), kad jūsų slaptažodžiai iš tikrųjų yra saugūs saugant "Chrome", mes norime užšifruoti visus savo prisijungimus ir slaptažodžius "LastPass" saugykloje.
Ar ką nors įtraukti į paaiškinimą?Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų?Patikrinkite visą diskusijų temą čia.
