4Aug
Das Speichern Ihrer Passwörter in Ihrem Webbrowser scheint eine große Zeitersparnis zu sein, aber sind die Passwörter sicher und unzugänglich für andere( sogar für Mitarbeiter der Browser-Firma), wenn sie weggeschmissen werden?
Heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Die Frage
SuperUser reader MMA ist neugierig, ob Google-Mitarbeiter Zugriff auf die Passwörter haben, die er in Google Chrome speichert:
Ich verstehe, dass wir wirklich versucht sind, unsere Passwörter in Google Chrome zu speichern. Der wahrscheinliche Vorteil ist zweifach,
- Sie müssen diese langen und kryptischen Kennwörter nicht eingeben( auswendig lernen).
- Diese sind überall verfügbar, sobald Sie sich in Ihrem Google-Konto angemeldet haben.
Der letzte Punkt löste meine Zweifel aus. Da das Passwort überall verfügbar ist, muss der Speicher an einem zentralen Ort, und das sollte bei Google sein.
Nun, meine einfache Frage ist, kann ein Google-Mitarbeiter meine Passwörter sehen?
Die Suche über das Internet ergab mehrere Artikel / Nachrichten.
- Speichern Sie Passwörter in Chrome? Vielleicht sollten Sie es noch einmal überdenken: Sprechen Sie darüber, dass Ihre Passwörter von jemandem gestohlen wurden, der Zugriff auf Ihr Computerkonto hat. Nichts erwähnt über die Sicherheit und die Sicherheitslücke des zentralen Speichers. Es gibt sogar eine Antwort von Chrome Browser Sicherheits-Tech-Lead über das erste Problem.
- Chrome's wahnsinnige Passwort-Sicherheitsstrategie: Meistens auf der gleichen Linie. Sie können ein Passwort von jemandem stehlen, wenn Sie Zugriff auf das Computerkonto haben.
- So stehlen Sie in Google Chrome gespeicherte Passwörter in 5 einfachen Schritten: Lehrt Sie, wie Sie den -Act , der in den beiden vorherigen Versionen erwähnt wurde, tatsächlich ausführen, wenn Sie Zugriff auf das Konto eines anderen Benutzers haben.
Es gibt viele weitere( einschließlich dieser bei diese Seite ), meist entlang der gleichen Linie, Punkte, Gegenpunkte, große Debatten. Ich erwähne sie hier nicht, sondern führe einfach eine Suche durch, wenn du sie finden willst.
Zurück zu meiner ursprünglichen Abfrage, kann ein Google-Mitarbeiter mein Passwort sehen? Da ich das Passwort mit einem einfachen Knopf anzeigen kann, können sie definitiv unverschlüsselt( entschlüsselt) werden, selbst wenn sie verschlüsselt sind. Dies unterscheidet sich sehr von den Passwörtern, die in Unix-ähnlichen Betriebssystemen gespeichert sind, wo das gespeicherte Passwort niemals im Klartext angezeigt wird.
Sie verwenden einen Einweg-Verschlüsselungsalgorithmus, um Ihre Kennwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der passwd- oder shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das von Ihnen eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es dasselbe Passwort sein, und Sie haben Zugriff. So kann ein Superuser mein Passwort ändern, kann mein Konto blockieren, aber er kann mein Passwort nie sehen.
Sind also seine Bedenken begründet oder wird ein kleiner Einblick seine Sorgen zerstreuen?
Der
SuperUser-Mitwirkende Zeel hilft ihm dabei, sich zu beruhigen:
Kurze Antwort: Nein *
Passwörter, die auf Ihrem lokalen Computer gespeichert sind, können von Chrome entschlüsselt werden, solange Ihr Betriebssystem-Benutzerkonto angemeldet istim Klartext. Am Anfang scheint das schrecklich, aber wie hat Ihrer Meinung nach Auto-Fill funktioniert? Wenn dieses Passwortfeld ausgefüllt wird, muss Chrome das echte Passwort in das HTML-Formularelement einfügen - andernfalls würde die Seite nicht richtig funktionieren und Sie könnten das Formular nicht senden. Und wenn die Verbindung zur Website nicht über HTTPS erfolgt, wird der Klartext über das Internet gesendet. Mit anderen Worten, wenn Chrome die Klartextpasswörter nicht erhalten kann, sind sie völlig nutzlos. Ein Einweg-Hash ist nicht gut, weil wir sie verwenden müssen.
Jetzt sind die Passwörter tatsächlich verschlüsselt, die einzige Möglichkeit, sie wieder in den reinen Text zu bringen, ist der Entschlüsselungsschlüssel. Dieser Schlüssel ist Ihr Google-Passwort oder ein Sekundärschlüssel, den Sie einrichten können. Wenn Sie sich in Google Chrome anmelden und synchronisieren, übermitteln die Google-Server die -verschlüsselten -Kennwörter, -Einstellungen, -Bookmarks, Auto-Fill usw. an Ihren lokalen Computer. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.
Am Ende von Google werden alle diese Informationen in ihrem verschlüsselten Zustand gespeichert, und sie haben nicht den Schlüssel, um sie zu entschlüsseln. Ihr Kontopasswort wird mit einem Hashwert verglichen, um sich bei Google anzumelden, und selbst wenn Sie Chrome daran erinnern, ist diese verschlüsselte Version im selben Bundle wie die anderen Passwörter verborgen und somit nicht zugänglich. Ein Mitarbeiter könnte also wahrscheinlich die verschlüsselten Daten entsorgt haben, aber das würde ihnen nichts nützen, da sie keine Möglichkeit hätten, sie zu verwenden. *
Also nein, Google-Mitarbeiter können nicht auf Ihre Passwörter zugreifen, da siesind auf ihren Servern verschlüsselt.
* Vergessen Sie jedoch nicht, dass auf ein System, auf das ein autorisierter Benutzer zugreifen kann, von einem nicht autorisierten Benutzer zugegriffen werden kann. Einige Systeme sind leichter zu durchbrechen als andere, aber keine ist ausfallsicher...Nichtsdestotrotz glaube ich, dass ich Google und den Millionen, die sie für Sicherheitssysteme ausgeben, gegenüber jeder anderen Passwortspeicherlösung vertrauen werde. Und zum Teufel, ich bin ein wimpy nerd, es wäre einfacher, die Passwörter von mir zu schlagen, als die Verschlüsselung von Google zu brechen.
** Ich gehe auch davon aus, dass es keine Person gibt, die gerade für Google arbeitet, um Zugriff auf Ihren lokalen Computer zu erhalten. In diesem Fall sind Sie verrückt, aber eine Beschäftigung bei Google ist eigentlich kein Faktor mehr. Moral: Schlagen Sie Win + L, bevor Sie die Maschine verlassen.
Wir stimmen Zeel zu, dass es eine ziemlich sichere Sache ist( solange Ihr Computer nicht kompromittiert ist), dass Ihre Passwörter in Chrome sicher sind, wir bevorzugen jedoch, alle unsere Logins und Passwörter in einem LastPass-Depot zu verschlüsseln.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.