4Aug
Teie veebibrauseris olevate paroolide salvestamine tundub suurepärase aja kokkuhoidmiseks, kuid kas need paroolid on turvalised ja teistele( isegi brauseri ettevõtte töötajad) ligipääsmatud?
tänapäeva küsimus &Vastuste seanss tuleb meile viisakalt SuperUseriga - Q & A veebisaitide kogukonnapõhise grupi Stack Exchange jagunemisest.
Küsimus
SuperUser lugeja MMA on uudishimulik, kui Google'i töötajatel on( või võiks olla) juurdepääs Google Chrome'i salvestatud paroolidele:
Ma mõistan, et meil on tõesti kiusatus salvestada meie paroolid Google Chromeis. Tõenäoline kasu on kaks korda,
- . Teil pole vaja( meelde jätta) ja sisestada need pikad ja salajased paroolid.
- Need on kõikjal, kus olete oma Google'i kontole sisse logitud.
Viimane punkt tekitas mu kahtluse. Kuna parool on saadaval -i asukohast , peab salvestusruum olema mõnes keskses asukohas ja see peaks olema Google'is.
Nüüd on minu lihtne küsimus, kas Google'i töötaja saab minu paroolid näha?
Internetis otsimine näitas mitmeid artikleid / sõnumeid.
- Kas salvestate paroole Chrome'is? Võibolla peaksite uuesti kaaluma: räägib teie paroolide varastamisest, kellel on juurdepääs teie arvuti kontole. Midagi ei mainita keskne ladustamiskindlus ja haavatavus. Esimene küsimus on isegi Chrome'i brauseri turvalisuse tehnoloogialahenduse vastuses.
- Chrome'i hull parooli turbetuse strateegia: enamasti sama joonega. Keegi saab sulle parooli, kui teil on juurdepääs arvutikontole.
- Kuidas Google Chrome'is paroolid salvestada viis lihtsat sammu: õpetab, kuidas tegelikult toimida toimingus , mida mainiti kahes eelmises punktis, kui teil on kellegi teise kontot.
Sellel saidil on veel palju( sh seda sai ), enamasti sama joonega, punktid, vastupunktid, tohutud arutelud. Ma ei maini neid siin, vaid otsi, kui soovite neid leida.
Kas minu Google'i töötaja saab minu parooli vaadata mu algse päringu juurde? Kuna ma saan parooli vaadata lihtsa nupuga, kindlasti saab neid lahti krüptida( lahtikrüptitud), isegi kui see on krüpteeritud. See erineb väga erinevatest Unix-like operatsioonisüsteemides salvestatud paroolidest, kus salvestatud parooli ei saa kunagi tavalises tekstis näha.
Kasutavad paroolide krüptimiseks ühesuunalise krüpteerimisalgoritmi. See krüptitud parool salvestatakse seejärel passwd-i või variifaili. Kui proovite sisselogimist, sisestatav parool krüpteeritakse uuesti ja võrreldakse faili, milles teie paroolid salvestatakse. Kui need sobivad, peab see olema sama parool ja teil on juurdepääs. Seega saab superkasutaja oma parooli muuta, oma konto blokeerida, kuid ta ei saa kunagi oma parooli näha.
Kas tema mured on põhjendatud või vähene ülevaade hajutada tema muret?
Vastus
SuperUseri toetaja Zeel aitab oma meelt kergendada:
Lühike vastus: Ei *
teie kohalikus masinas salvestatud paroole saab Chrome'ist dekrüpteerida seni, kuni teie operatsioonisüsteemi kasutajakonto on sisse logitud. Ja siis saate neid vaadatatavalises tekstis. Alguses tundub see kohutav, aga kuidas te arvasite, et automaatne täitmine töötas? Kui see salasõna väli täidetakse, peab Chrome sisestama HTML-vormingus elemendile tõelise parooli - muidu leht ei tööta õigesti ja te ei saa vormi esitada. Ja kui ühendus veebisaidiga ei ole üle HTTPS-i, saadetakse seejärel tavaline tekst interneti kaudu. Teisisõnu, kui kroom ei saa tavalisi teksti paroole, siis on need täiesti kasutud.Üks võimalus hash pole hea, sest me peame neid kasutama.
Nüüd on paroolid tegelikult krüptitud, ainsaks viisiks tavaliste tekstide saamiseks on dekrüptimise võti. See võti on teie Google'i parool või sekundaarvõti, mille saate seadistada. Kui logite sisse Chrome'i ja sünkroonitakse, edastavad Google'i serverid teie kohalikule seadmele krüptitud paroole, seadeid, järjehoidjaid, automaatset täitmist jne. Siin saab Chrome teabe lahti krüpteerida ja seda kasutada.
Google'i lõpus kogu see info salvestatakse selle ümbruses olevasse olekusse ja neil pole selle dekrüptimise võtme. Teie konto parool on Google'is sisse logitud, ja kui te lasete kroomil seda meeles pidada, on see krüptitud versioon peidetud samas paketis nagu teised paroolid, mida on võimatu juurde pääseda. Nii et töötaja võis tõenäoliselt haarata krüpteeritud andmete prügimägi, kuid see ei tee neile midagi head, sest neil pole mingit võimalust seda kasutada. *
Nii et ei, Google'i töötajad ei saa ** oma paroolid kasutada, kuna needon krüptitud nende serverites.
* Kuid ärge unustage, et autoriseerimata kasutaja saab kasutada mis tahes süsteemi, millele volitatud kasutaja saab pääseda. Mõned süsteemid on lihtsam lõhkeda kui teised, kuid ükski ei ole tõrgeteta...Sellest tulenevalt usun ma, et ma usaldan Google'i ja miljoneid, mida nad kulutavad turvasüsteemidele, mis tahes muu salasõna salvestamise lahenduse kaudu. Ja heck, ma olen wimpy nerd, oleks lihtsam võita mu paroolid välja kui murda Google'i krüpteerimist.
** Ma eeldan ka, et Google'ile ei jõuta juurdepääsu teie kohalikule masinale. Sellisel juhul on teil kruvitud, kuid Google'i töökoht ei ole tegelikult enam tegur. Moraal: enne masinast lahkumist viige Win + L.
Kuigi me nõustume zeeliga, et Chrome'i salvestamisel on teie turvaline paindlikkus( kui teie arvuti ei ole ohus), eelistavad kõik meie loginsid ja paroolid krüptida LastPassi andmevahetuses.
Kas lisada seletusesse midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.