4Aug
Uložení hesel do vašeho webového prohlížeče se zdá být skvělým spořičem času, ale jsou hesla bezpečná a nepřístupná ostatním( i zaměstnancům prohlížečové společnosti), když se rozvine?
dnešní otázka &Odpověď na zasedání se k nám dostala s laskavým svolením SuperUser - podřízenou výměnou Stack Exchange, skupině webů Q & A založených na komunitě.
Otázka
Čtečka MMA SuperUser je zvědavá, pokud zaměstnanci společnosti Google mají( nebo mohou mít) přístup k heslům, které ukládá do prohlížeče Google Chrome:
Chápu, že jsme opravdu pokoušeli uložit hesla v prohlížeči Google Chrome. Pravděpodobná výhoda je dvojnásobná,
- Nemusíte( memorovat a) zadávat ty dlouhé a tajuplné hesla.
- Tyto jsou k dispozici všude tam, kde se přihlásíte do svého účtu Google.
Poslední bod vyvolal pochybnosti. Vzhledem k tomu, že heslo je k dispozici kdekoli , úložiště musí být v nějakém centrálním umístění a mělo by to být na Googlu.
Nyní můj jednoduchý dotaz je, může zaměstnanec Google vidět moje hesla?
Vyhledávání na internetu odhalilo několik článků / zpráv.
- Uchováváte hesla v prohlížeči Chrome? Možná byste měli znovu zvážit: Diskuse o tom, že vaše hesla byla ukradena někým, kdo má přístup k vašemu účtu počítače. Nic se nezmínilo o zabezpečení centrální úložiště a zranitelnosti. Od prvního problému předchází i reakce vedoucí k technologii zabezpečení prohlížeče Chrome.
- Chyby šílené strategie zabezpečení heslem v Chromu: Většinou po stejné linii. Některé heslo můžete odcizit, pokud máte přístup k účtu počítače.
- Jak ukrást hesla uložená v prohlížeči Google Chrome v 5 jednoduchých krocích: Učí vás, jak skutečně provádět akt uvedený v předchozích dvou, když máte přístup k účtu někoho jiného.
Existuje mnoho dalších( včetně tohoto na webu ), převážně podél stejné čáry, body, protiklady, obrovské debaty. Nechám je zde zmínit, jednoduše provést vyhledávání, pokud je chcete najít.
Vrátit se k původnímu dotazu, může zaměstnanec Google vidět heslo? Vzhledem k tomu, že mohu zobrazit heslo pomocí jednoduchého tlačítka, rozhodně mohou být dešifrovány( dešifrované), i když jsou zašifrovány. To se velmi liší od hesel uložených v systémech typu Unix, kde uložené heslo nemůže být nikdy vidět v prostém textu.
Používají jednosměrný šifrovací algoritmus k šifrování hesel. Toto šifrované heslo je pak uloženo v souboru passwd nebo stínu. Při pokusu o přihlášení je zadané heslo znovu zašifrováno a porovnáno s položkou v souboru, který ukládá vaše hesla. Pokud odpovídají, musí být stejné heslo a máte přístup. Tak superuživatel může změnit heslo, může mi zablokovat účet, ale nikdy nevidí heslo.
Také jsou jeho obavy opodstatněné nebo se trochu pochopí, že jeho starosti rozptýlí?
Odpovědný odpověď
SuperUser přispívá Zeel:
Krátká odpověď: Ne *
Hesla uložená na místním počítači mohou být dešifrována prohlížečem Chrome, pokud je přihlášen uživatelský účet OS. A pak je můžete zobrazitv prostém textu. Zpočátku to vypadá strašně, ale jak si myslíte, že funguje automatické doplňování?Po vyplnění tohoto pole hesla musí Chrome vložit do elementu formátu HTML skutečné heslo - nebo jinak stránka nefunguje správně a formulář nelze odeslat. A pokud připojení k webovému serveru není přes HTTPS, prostý text se pak pošle přes internet. Jinými slovy, pokud Chrome nemůže získat hesla prostého textu, jsou zcela zbytečné.Jednosměrný hash není dobrý, protože je musíme používat.
Nyní jsou hesla ve skutečnosti zašifrována, jediný způsob, jak je získat zpět na prostý text, je mít dešifrovací klíč.Tento klíč je vaše heslo Google nebo sekundární klíč, který můžete nastavit. Když se přihlásíte do prohlížeče Chrome a synchronizujete, servery Google předají šifrované hesla, nastavení, záložky, automatické doplňování atd. Do místního počítače. Zde Chrome dešifruje informace a bude je moci používat.
Na konci Googlu jsou všechny tyto informace ukládány ve svém zaškrtnutém stavu a nemají klíč k dešifrování.Heslo vašeho účtu je kontrolováno na základě hash pro přihlášení do Googlu a i když necháte chrome zapamatovat, šifrovaná verze je skrytá ve stejném svazku jako ostatní hesla, ke kterým nelze přistupovat. Takže by zaměstnanec mohl pravděpodobně uchopit výpis zašifrovaných dat, ale to by jim nic neudělalo, protože by neměli způsob, jak je použít. *
Takže ne, zaměstnanci Google nemohou ** přistupovat k vašim heslům, protožejsou šifrovány na svých serverech.
* Nezapomeňte však, že jakýkoli systém, ke kterému může přistupovat oprávněný uživatel, je přístupný neoprávněnému uživateli. Některé systémy se snadněji rozbíjejí než jiné, ale žádné nejsou odolné proti chybám...Za těchto okolností se domnívám, že budu důvěřovat společnosti Google a milionům, které utrácejí na bezpečnostních systémech, než jakékoliv jiné řešení pro ukládání hesel. A sakra, jsem strašidelný hlupák, bylo by snadnější porazit hesla ze mně, než zlomit šifrování Google.
** Také se domnívám, že neexistuje osoba, která by právě pracovala pro to, aby společnost Google získala přístup k místnímu počítači. V takovém případě jste zaseknutá, ale zaměstnání na Googlu už není faktorem. Morální: Hit Win + L před opuštěním stroje.
Zatímco souhlasíme se zeel, že je to docela bezpečná sázka( pokud váš počítač není ohrožen), že vaše hesla jsou ve skutečnosti bezpečná, pokud jsou uložena v prohlížeči Chrome, dáváme přednost šifrování všech přihlašovacích údajů a hesel do úložiště LastPass.
Musíte něco přidat k vysvětlení?Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.