4Aug

Kan Google-medarbejdere se mine gemte Google Chrome-adgangskoder?

Lagring af dine adgangskoder i din webbrowser virker som en god tidsbesparende, men er adgangskoderne sikre og utilgængelige for andre( selv medarbejdere i browserselskabet), når de er forkælet væk?

Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drevet gruppe af Q & A-websteder.

Spørgsmål

SuperUser-læser MMA er nysgerrig, om Google-medarbejdere har( eller kunne have) adgang til de adgangskoder, som han opbevarer i Google Chrome:

Jeg forstår, at vi virkelig er fristet til at gemme vores adgangskoder i Google Chrome. Den sandsynlige fordel er to gange,

  • Du behøver ikke at( huske og) indtaste disse lange og kryptiske adgangskoder.
  • Disse er tilgængelige, uanset hvor du er, når du logger ind på din Google-konto.

Det sidste punkt udledte min tvivl. Da adgangskoden er tilgængelig hvor som helst , skal opbevaringen være på en central placering, og dette skal være hos Google.

Nu er mit enkle spørgsmål, kan en Google-medarbejder se mine adgangskoder?

Søgning via internettet afslørede flere artikler / meddelelser.

  • Gemmer du adgangskoder i Chrome? Måske skal du genoverveje: Tal om dine adgangskoder bliver stjålet af en person, der har adgang til din computer konto. Intet nævnt om den centrale lagringssikkerhed og sårbarhed. Der er endda et svar fra Chrome Browser Security Tech lead om det første problem.
  • Chrome's vanvittige adgangskode sikkerhedsstrategi: For det meste langs samme linje. Du kan stjæle adgangskode fra nogen, hvis du har adgang til computerens konto.
  • Sådan stjæler du adgangskoder gemt i Google Chrome i 5 enkle trin: Lærer dig, hvordan du rent faktisk udfører -handlingen nævnt i de foregående to, når du har adgang til en andens konto.

Der er mange flere( herunder denne på denne side ), hovedsagelig på samme linje, point, modpoint, store debatter. Jeg afholder mig fra at nævne dem her, bare bære en søgning, hvis du vil finde dem.

Kommer tilbage til min oprindelige forespørgsel, kan en Google-medarbejder se mit kodeord? Da jeg kan se adgangskoden ved hjælp af en simpel knap, kan de helt sikkert afkrympes( dekrypteret), selvom krypteret. Dette er meget forskelligt fra de adgangskoder, der er gemt i Unix-lignende OS, hvor det gemte kodeord aldrig kan ses i almindelig tekst.

De bruger en envejs krypteringsalgoritme til at kryptere dine adgangskoder. Denne krypterede adgangskode gemmes derefter i passwd- eller skyggefilen. Når du forsøger at logge ind, krypteres den adgangskode, du indtaster, igen og sammenlignes med posten i filen, der gemmer dine adgangskoder. Hvis de matcher, skal den være den samme adgangskode, og du får adgang. Således kan en superbruger ændre mit kodeord, kan blokere min konto, men han kan aldrig se mit kodeord.

Så er hans bekymringer velbegrundede eller vil en lille indsigt fordrive hans bekymring?

Svaret

SuperUser-bidragyder Zeel hjælper med at tænke sig godt:

Kort svar: Nej *

Adgangskoder gemt på din lokale maskine kan dekrypteres af Chrome, så længe din OS-brugerkonto er logget ind. Og så kan du se demi almindelig tekst. Først synes det forfærdeligt, men hvordan syntes du, at auto-fill arbejdede? Når dette adgangskodefelt bliver udfyldt, skal Chrome indsætte det rigtige kodeord i HTML-formelementet - ellers ville siden ikke fungere rigtigt, og du kunne ikke indsende formularen. Og hvis forbindelsen til hjemmesiden ikke er over HTTPS, sendes den almindelige tekst over internettet. Med andre ord, hvis krom ikke kan få almindeligt tekstadgangskoder, så er de helt ubrugelige. En one-way hash er ikke god, fordi vi skal bruge dem.

Nu er adgangskoderne faktisk krypteret, og den eneste måde at få dem tilbage til almindelig tekst på er at få dekrypteringsnøglen. Denne nøgle er din Google-adgangskode eller en sekundær nøgle, du kan oprette. Når du logger ind på Chrome og synkroniserer, sender Google-serverne -krypterede -adgangskoder, indstillinger, bogmærker, automatisk udfyldning osv. Til din lokale maskine. Her dekrypterer Chrome informationen og kan bruge den.

På Googles ende er al den information gemt i sin encrpyted state, og de har ikke nøglen til at dekryptere den. Din kontoadgangskode er markeret mod en hash for at logge ind på Google, og selvom du lader chrome huske det, er den krypterede version gemt i samme bundle som de andre adgangskoder, der er umulige at få adgang til. Så en medarbejder kunne nok få fat i et dump af de krypterede data, men det ville ikke gøre dem noget godt, da de ikke kunne bruge det. *

Så nej, Google-medarbejdere kan ikke ** få adgang til dine adgangskoder, da dekrypteres på deres servere.

* Husk dog, at ethvert system, der er tilgængeligt for en autoriseret bruger, kan fås af en uautoriseret bruger. Nogle systemer er lettere at bryde end andre, men ingen er fejlsikre...Når det er sagt, tror jeg, jeg vil stole på Google og de millioner, de bruger på sikkerhedssystemer, over enhver anden adgangskodeoplagringsløsning. Og heck, jeg er en wimpy nerd, det ville være lettere at slå adgangskoderne ud af mig end at bryde Googles kryptering.

** Jeg antager også, at der ikke er en person, der bare sker for at arbejde for Google at få adgang til din lokale maskine. I så fald er du skruet, men beskæftigelse hos Google er faktisk ikke en faktor mere. Moral: Hit Win + L inden du forlader maskinen.

Selvom vi er enige med zeel om, at det er en ret sikker bet( så længe computeren ikke er i fare), at dine adgangskoder faktisk er sikre, mens de gemmes i Chrome, foretrækker vi at kryptere alle vores logins og adgangskoder i et LastPass-hvælving.

Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.