4Aug
Stocker vos mots de passe dans votre navigateur Web semble être un excellent gain de temps, mais les mots de passe sont-ils sécurisés et inaccessibles aux autres( même les employés de la société du navigateur) quand ils sont déposés?
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
La question
SuperUser lecteur MMA est curieux si les employés de Google ont( ou pourraient avoir) accès aux mots de passe qu'il stocke dans Google Chrome:
Je comprends que nous sommes vraiment tentés d'enregistrer nos mots de passe dans Google Chrome. L'avantage probable est double,
- Vous n'avez pas besoin de( mémoriser et) entrer ces mots de passe longs et cryptiques.
- Ils sont disponibles partout où vous vous trouvez lorsque vous vous connectez à votre compte Google.
Le dernier point a suscité mon doute. Depuis le mot de passe est disponible partout , le stockage doit dans un certain endroit central, et ce devrait être chez Google.
Maintenant, ma question simple est, un employé de Google peut-il voir mes mots de passe?
La recherche sur Internet a révélé plusieurs articles / messages.
- Enregistrez-vous des mots de passe dans Chrome? Peut-être que vous devriez reconsidérer: parle de vos mots de passe étant volé par quelqu'un qui a accès à votre compte d'ordinateur. Rien de mentionné sur la sécurité et la vulnérabilité du stockage central. Il y a même une réponse de la part du responsable technique de la sécurité du navigateur Chrome concernant le premier problème.
- Stratégie de sécurité de mot de passe fou de Chrome: Principalement le long de la même ligne. Vous pouvez voler le mot de passe de quelqu'un si vous avez accès au compte d'ordinateur.
- Comment voler les mots de passe enregistrés dans Google Chrome en 5 étapes simples: Vous apprend à réellement exécuter l' acte mentionné dans les deux précédents lorsque vous avez accès au compte de quelqu'un d'autre.
Il y en a beaucoup d'autres( dont celui-ci sur ce site ), principalement le long de la même ligne, des points, des contrepoints, d'énormes débats. Je m'abstiens de les mentionner ici, faites simplement une recherche si vous voulez les trouver.
Pour revenir à ma requête initiale, un employé de Google peut-il voir mon mot de passe? Depuis que je peux voir le mot de passe en utilisant un simple bouton, définitivement, ils peuvent être désactivés( déchiffrés) même si cryptés. Ceci est très différent des mots de passe enregistrés dans les systèmes d'exploitation de type Unix où le mot de passe enregistré ne peut jamais être vu en texte brut.
Ils utilisent un algorithme de cryptage unidirectionnel pour crypter vos mots de passe. Ce mot de passe chiffré est ensuite stocké dans le fichier passwd ou shadow. Lorsque vous tentez de vous connecter, le mot de passe que vous saisissez est de nouveau crypté et comparé à l'entrée dans le fichier qui stocke vos mots de passe. Si elles correspondent, il doit être le même mot de passe, et vous êtes autorisé à accéder. Ainsi, un superutilisateur peut changer mon mot de passe, bloquer mon compte, mais il ne peut jamais voir mon mot de passe.
Alors ses inquiétudes sont-elles fondées ou un peu de perspicacité dissipera-t-il son inquiétude?
La réponse
SuperUser contributeur Zeel aide à mettre son esprit à l'aise:
Réponse courte: Non *
Les mots de passe stockés sur votre machine locale peuvent être déchiffrés par Chrome, tant que votre compte d'utilisateur est connecté.en texte clair. Au début, cela semble horrible, mais comment pensez-vous que le remplissage automatique a fonctionné?Lorsque ce champ de mot de passe est rempli, Chrome doit insérer le mot de passe réel dans l'élément de formulaire HTML. Dans le cas contraire, la page ne fonctionnerait pas correctement et vous ne pourriez pas soumettre le formulaire. Et si la connexion au site Web n'est pas sur HTTPS, le texte brut est ensuite envoyé sur Internet. En d'autres termes, si chrome ne peut pas obtenir les mots de passe en texte brut, ils sont totalement inutiles. Un hachage à sens unique n'est pas bon, parce que nous devons les utiliser.
Maintenant, les mots de passe sont cryptés, le seul moyen de les retrouver en texte brut est d'avoir la clé de décryptage. Cette clé est votre mot de passe Google ou une clé secondaire que vous pouvez configurer. Lorsque vous vous connectez à Chrome et que vous effectuez une synchronisation, les serveurs Google transmettent les mots de passe, les paramètres, les signets, le remplissage automatique, etc. à votre ordinateur local. Ici, Chrome déchiffrera l'information et pourra l'utiliser.
À la fin de Google, toutes ces informations sont stockées dans leur état de chiffrement, et elles n'ont pas la clé pour les déchiffrer. Le mot de passe de votre compte est comparé à un hash pour se connecter à Google, et même si vous laissez Chrome s'en souvenir, cette version cryptée est cachée dans le même paquet que les autres mots de passe, impossible d'y accéder. Ainsi, un employé pourrait probablement récupérer une copie des données cryptées, mais cela ne lui servirait à rien, puisqu'il n'aurait aucun moyen de l'utiliser. *
Donc non, les employés de Google ne peuvent pas ** accéder à vos mots de passe, puisqu'ilssont cryptés sur leurs serveurs.
* Cependant, n'oubliez pas que tout système accessible à un utilisateur autorisé peut être accédé par un utilisateur non autorisé.Certains systèmes sont plus faciles à casser que d'autres, mais aucun n'est infaillible...Cela étant dit, je pense que je vais faire confiance à Google et aux millions qu'ils dépensent sur les systèmes de sécurité, par rapport à toute autre solution de stockage de mot de passe. Et diable, je suis un nerd wimpy, il serait plus facile de battre les mots de passe de moi que de briser le cryptage de Google.
** Je suppose également qu'il n'y a pas une personne qui travaille pour que Google puisse accéder à votre machine locale. Dans ce cas, vous êtes foutu, mais l'emploi chez Google n'est plus vraiment un facteur. Morale: Frappez Win + L avant de quitter la machine.
Bien que nous soyons d'accord avec zeel pour dire que vos mots de passe sont sécurisés( tant que votre ordinateur n'est pas compromis), nous préférons chiffrer tous nos identifiants et mots de passe dans un coffre LastPass.
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.