4Aug
Almacenar sus contraseñas en su navegador web parece ser un gran ahorro de tiempo, pero ¿las contraseñas son seguras e inaccesibles para otros( incluso para los empleados de la empresa del navegador) cuando se guardan?
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad.
La pregunta
SuperUser reader MMA es curioso si los empleados de Google tienen( o podrían tener) acceso a las contraseñas que almacena en Google Chrome:
Entiendo que estamos realmente tentados de guardar nuestras contraseñas en Google Chrome. El beneficio probable es doble,
- No necesita( memorizar y) ingresar esas contraseñas largas y crípticas.
- Están disponibles donde quiera que esté una vez que inicie sesión en su cuenta de Google.
El último punto despertó mi duda. Dado que la contraseña está disponible en cualquier lugar , el almacenamiento debe realizarse en una ubicación central, y debe estar en Google.
Ahora, mi pregunta simple es, ¿un empleado de Google puede ver mis contraseñas?
La búsqueda en Internet reveló varios artículos / mensajes.
- ¿Guarda contraseñas en Chrome? Tal vez debería reconsiderar: habla sobre el robo de sus contraseñas por alguien que tiene acceso a su cuenta de computadora. Nada mencionado sobre la seguridad y vulnerabilidad de almacenamiento central. Incluso hay una respuesta del líder de tecnología de seguridad del navegador Chrome sobre el primer problema.
- Estrategia de seguridad de contraseña de Chrome: principalmente en la misma línea. Puede robar la contraseña de alguien si tiene acceso a la cuenta de la computadora.
- Cómo robar contraseñas guardadas en Google Chrome en 5 pasos simples: le enseña cómo realizar realmente el actuando mencionado en los dos anteriores cuando tiene acceso a la cuenta de otra persona.
Hay muchos más( incluido este en este sitio ), principalmente en la misma línea, puntos, contrapuntos, grandes debates. Me abstengo de mencionarlos aquí, simplemente realice una búsqueda si quiere encontrarlos.
Volviendo a mi consulta original, ¿puede un empleado de Google ver mi contraseña? Como puedo ver la contraseña con un simple botón, definitivamente pueden ser descodificados( descifrados) incluso encriptados. Esto es muy diferente de las contraseñas guardadas en sistemas operativos tipo Unix donde la contraseña guardada nunca se puede ver en texto plano.
Utilizan un algoritmo de encriptación unidireccional para encriptar sus contraseñas. Esta contraseña cifrada se almacena en el archivo passwd o shadow. Cuando intenta iniciar sesión, la contraseña que escribe se encripta nuevamente y se compara con la entrada en el archivo que almacena sus contraseñas. Si coinciden, debe ser la misma contraseña, y se le permite el acceso. Por lo tanto, un superusuario puede cambiar mi contraseña, puede bloquear mi cuenta, pero nunca puede ver mi contraseña.
¿Están bien fundadas sus preocupaciones o una pequeña idea disipará su preocupación?
La respuesta
superusuario colaborador Zeel ayuda a poner su mente en la facilidad: Respuesta
corta: No * Las contraseñas
almacenados en el equipo local puede ser descifrado por Chrome, siempre y cuando su usuario del sistema operativo cuenta se registra en Y a continuación, puede ver esos.en texto plano. Al principio, esto parece horrible, pero ¿cómo crees que funciona el autocompletado? Cuando se completa ese campo de contraseña, Chrome debe insertar la contraseña real en el elemento de formulario HTML; de lo contrario, la página no funcionaría correctamente y no podría enviar el formulario. Y si la conexión al sitio web no es a través de HTTPS, el texto plano se envía a través de Internet. En otras palabras, si Chrome no puede obtener las contraseñas de texto plano, entonces son totalmente inútiles. Un hash unidireccional no es bueno, porque tenemos que usarlos.
Ahora las contraseñas están de hecho encriptadas, la única forma de regresarlas al texto plano es tener la clave de descifrado. Esa clave es su contraseña de Google o una clave secundaria que puede configurar. Cuando inicie sesión en Chrome y se sincronice, los servidores de Google transmitirán las contraseñas cifradas , configuraciones, marcadores, autocompletar, etc., a su máquina local. Aquí Chrome descifrará la información y podrá usarla.
Al final de Google toda esa información se almacena en su estado incrustado, y no tienen la clave para descifrarla. La contraseña de su cuenta se compara con un hash para iniciar sesión en Google, e incluso si deja que Chrome lo recuerde, esa versión cifrada está oculta en el mismo paquete que las otras contraseñas, imposible de acceder. Por lo tanto, un empleado podría probablemente obtener un volcado de los datos cifrados, pero no les haría ningún bien, ya que no tendrían manera de usarlo. *
Así que no, los empleados de Google no pueden ** acceder a sus contraseñas, ya queestán encriptados en sus servidores.
* Sin embargo, no olvide que un usuario no autorizado puede acceder a cualquier sistema al que pueda acceder un usuario autorizado. Algunos sistemas son más fáciles de romper que otros, pero ninguno es a prueba de fallas...Dicho esto, creo que confiaré en Google y en los millones que gastan en sistemas de seguridad, en comparación con cualquier otra solución de almacenamiento de contraseñas. Y diablos, soy un nerd débil, sería más fácil sacarme las contraseñas que romper la encriptación de Google.
** También estoy asumiendo que no hay una persona que simplemente funcione para que Google obtenga acceso a su máquina local. En ese caso, estás jodido, pero el empleo en Google ya no es un factor. Moral: Hit Win + L antes de salir de la máquina.
Si bien estamos de acuerdo con Zeel en que es una apuesta bastante segura( siempre y cuando su computadora no esté comprometida) que sus contraseñas son seguras mientras están almacenadas en Chrome, preferimos encriptar todos nuestros inicios de sesión y contraseñas en una bóveda de LastPass.
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.