4Aug
Salasanojen tallentaminen selaimellasi tuntuu hyvältä säästäjältä, mutta ovatko salasanoja turvallisia ja saavuttamattomia muille( jopa selaimen työntekijöille), kun heidät irtoaa?
Päivän kysymys &Vastausistunto tulee meille kohteliaasti SuperUser-osastoon Stack Exchange, yhteisöllinen ryhmittely Q & A verkkosivuilla.
Kysymys
SuperUser-lukija MMA on utelias, jos Google-työntekijät ovat( tai saivat) pääsyn salasanoihinsa, jotka hän tallentaa Google Chromessa:
Ymmärrän, että olemme todella houkuttelevia tallentamaan salasanoihimme Google Chrome. Todennäköinen hyöty on kaksinkertainen,
- Sinun ei tarvitse( muistaa ja syöttää) nämä pitkät ja salaperäiset salasanat.
- Nämä ovat käytettävissä missä olet, kun kirjaudut sisään Google-tilillesi.
Viimeinen kohta herätti epäilykseni. Koska salasana on saatavana : ssä missä tahansa : ssä, tallennuksen on oltava jossain keskeisessä paikassa, ja sen pitäisi olla Googlessa.
Nyt yksinkertainen kysymykseni on, voiko Google-työntekijä nähdä salasanani?
Internetin kautta haettiin useita artikkeleita / viestejä.
- Tallennatko salasanoja Chromeon? Ehkä sinun pitäisi harkita uudelleen: Tietojen käsittely salasanat varastetaan joku, jolla on pääsy tietokoneesi tiliin. Mikään ei maininnut keskeisestä tallennusturvallisuudesta ja haavoittuvuudesta. Chrome-selaimen tietoturvateknologiasta vastaava vastaus on vasta ensimmäisestä numerosta.
- Chromein ikävä salasanaturvallisuusstrategia: Useimmiten samassa linjassa. Voit varastaa jonkun salasanan, jos sinulla on pääsy tietokoneeseen.
- Miten Google Chrome -ohjelmaan tallennettuja salasanoja voidaan varata viidessä yksinkertaisessa vaiheessa: opettaa sinulle, miten -säädöksen , joka mainittiin edellisissä kahdessa, kun joudut käyttämään jonkun muun tiliä.
On paljon enemmän( myös tämä tällä sivustolla ), enimmäkseen samaan linjaan, pisteisiin, vastapisteisiin, valtavia keskusteluja. En pidä mainita niitä täällä, vain tehdä haku, jos haluat löytää ne.
Tulin takaisin alkuperäiseen kyselyynni, voiko Google-työntekijä nähdä salasanani? Koska voin tarkastella salasanaa yksinkertaisella painikkeella, varmasti ne voidaan unhashed( decrypted), vaikka salattu. Tämä eroaa hyvin Unixin kaltaisista käyttöjärjestelmistä tallennetuista salasanoista, joissa tallennettua salasanaa ei voi koskaan nähdä tavallisessa tekstissä.
He käyttävät yksisuuntaista salausalgoritmia salaamaan salasanasi. Tämä salattu salasana tallennetaan sitten passwd- tai varjotiedostoon. Kun yrität kirjautua sisään, kirjoittamasi salasana salataan uudelleen ja sitä verrataan salasanan tallentamassa olevaan tietoon. Jos ne vastaavat, sen on oltava sama salasana ja sinulla on oltava pääsy. Ylittäjä voi siis muuttaa salasanani, estää tilini, mutta hän ei voi koskaan nähdä salasanani.
Joten ovat hänen huolensa perusteltuja vai tuleeko vähän näkemystä hälventää huolta?
Vastaus
SuperUser-avustaja Zeel auttaa ottamaan mielensä helposti:
Lyhyt vastaus: Ei *
Chrome voi purkaa salasanasi paikalliselta koneelta, niin kauan kuin käyttöjärjestelmäsi on kirjautunut sisään.tekstinä.Aluksi tämä näyttää kauhealta, mutta miltä luulet, että automaattinen täyttö toimi? Kun salasanakenttä täyttyy, Chromen on syötettävä todellinen salasana HTML-lomakeosiin - muuten sivu ei toimi oikein, etkä voi lähettää lomaketta. Ja jos yhteyden luominen verkkosivustolle ei ole HTTPS: n päällä, pelkkä teksti lähetetään Internetin välityksellä.Toisin sanoen, jos kromi ei pääse tavallisen tekstin salasanoihin, ne ovat täysin hyödytöntä.Yksisuuntainen hash ei ole hyvä, koska meidän on käytettävä niitä.
Nyt salasanat on itse asiassa salattu, ainoa tapa saada ne takaisin tavalliseen tekstiin on saada salauksen avain. Tämä avain on Google-salasanasi tai toissijainen avain, jonka voit määrittää.Kun kirjaudut Chromeen ja synkronoidaan, Google-palvelimet välittävät -salattuja -salasanoja, asetuksia, kirjanmerkkejä, automaattisia täyttöjä jne. Paikalliseen koneeseen. Tässä Chrome salaa tiedot ja pystyy käyttämään sitä.
Googlen lopussa kaikki tiedot tallennetaan sen piilotettuun tilaan, eikä niillä ole avainta purkaa sitä.Tilisi salasana on tarkistettu hajautumisen yhteydessä, jotta voit kirjautua Googlelle ja vaikka annat kromin muistaa sen, salattu versio piilotetaan samassa paketissa kuin muut salasanat, joita ei voi käyttää.Joten työntekijä voisi luultavasti napata salatun datan, mutta se ei tekisi heille mitään hyvää, koska heillä ei olisi mitään mahdollisuutta käyttää sitä. *
Niinpä Google-työntekijät eivät voi ** käyttää salasanoja, koska heon salattu niiden palvelimille.
* Kuitenkin, älä unohda, että valtuutettu käyttäjä voi käyttää mitä tahansa järjestelmää, johon valtuutettu käyttäjä voi käyttää.Jotkut järjestelmät ovat helpommin hajoavia kuin muut, mutta yksikään ei ole vikaantunut...Luulen, että luotan Googlelle ja miljoonille, joita he käyttävät turvajärjestelmiin, muihin salasanatallennusratkaisuihin verrattuna. Ja helvetti, olen tyhmä nartu, se olisi helpompaa voittaa salasanat pois minusta kuin rikkoa Googlen salausta.
** Oletan myös, että ei ole henkilöä, joka vain sattuu työskentelemään, kun Google saa pääsyn paikalliseen koneeseen. Tällöin olet ruuvattu, mutta työpaikka Googlessa ei ole enää tekijä enää.Moraali: Hit Win + L ennen kuin poistut koneesta.
Vaikka olemme samaa mieltä zeelin kanssa siitä, että se on melko turvallinen veto( niin kauan kuin tietokoneesi ei vaarannu), että salasanasi ovat itse asiassa turvallisia tallennettaessa Chromeen, me haluamme salata kaikki kirjautumisemme ja salasanamme LastPass-holkissa.
Onko sinulla jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.