4Aug
Pohranjivanje vaših lozinki u vašem web pregledniku čini se kao izvrsni čuvar vremena, ali jesu li lozinke sigurne i nedostupne drugima( čak i zaposlenicima tvrtke preglednika) kada se vježbaju?
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, grupiranjem zajednice Q & A web stranica.
Pitanje
Čitač SuperUser MMA je znatiželjan ako Googleovi zaposlenici imaju( ili mogu imati) pristup lozinkama koje pohranjuje u Google Chromeu:
Razumijem da nas uistinu iskušavamo spremanje naših zaporki u pregledniku Google Chrome. Vjerojatna korist je dva puta,
- Ne morate( zapamtiti i unositi te duge i tajne lozinke).
- Ovi su dostupni gdje god se prijavite na svoj Google račun.
Posljednja točka potaknula je moje sumnje. Budući da je lozinka dostupna bilo gdje , pohrana mora biti na nekom središnjem mjestu, a to bi trebalo biti kod Googlea.
Sada, moje je jednostavno pitanje, može li Google zaposlenik vidjeti moje lozinke?
Traženje putem Interneta otkrilo je nekoliko članaka / poruka.
- Štedite li zaporke u Chromeu? Možda biste trebali ponovno razmotriti: razgovori o zaporki koju ukrade netko tko ima pristup računu vašeg računala. Ništa nije spomenuto o središnjoj sigurnosnoj pohrani i ranjivosti.Čak je i odgovor Chromeova sigurnosnog alata preglednika o prvom izdanju.
- Chromeova ludo lozinka strategija sigurnosti: uglavnom po istoj liniji. Možete ukrasti lozinku od nekoga ako imate pristup računalnom računu.
- Kako ukloniti zaporke spremljene u pregledniku Google Chrome u 5 jednostavnih koraka: podučava vas kako izvršiti akt naveden u prethodna dva kada imate pristup računu nekog drugog.
Postoji mnogo više( uključujući i ovaj na ovoj stranici ), uglavnom na istoj liniji, točkama, protuupredama, ogromnim raspravama. Ja se ne spominjem ovdje, jednostavno nosite pretragu ako ih želite pronaći.
Vrativši se u moj izvorni upit, može li Google zaposlenik vidjeti svoju lozinku? Budući da mogu pregledati lozinku jednostavnim gumbom, definitivno se mogu ukloniti( dešifrirani) čak i ako su šifrirani. To se jako razlikuje od zaporki spremljenih u operacijskim sustavima sličnim Unixu, gdje se spremljena lozinka ne može vidjeti u običnom tekstu.
Koriste jednosmjerni algoritam šifriranja za šifriranje vaših lozinki. Ova šifrirana lozinka zatim se pohranjuje u passwd ili shadow datoteci. Kada se pokušate prijaviti, zaporka koju unesete ponovno je kriptirana i uspoređena s unosom u datoteci koja pohranjuje vaše zaporke. Ako se podudaraju, ona moraju biti iste lozinke i imate pristup. Dakle, superkorisnik može promijeniti lozinku, može blokirati moj račun, ali nikada ne može vidjeti zaporku.
Jesu li njegovi zabrinutosti dobro osnovane ili će malo uvida izbaciti svoju brigu?
Odgovor
SuperUser suradnik Zeel pomaže namještati svoj um:
Kratki odgovor: Ne *
Chrome može dešifrirati zaporke pohranjene na vašem lokalnom računalu, sve dok je vaš korisnički račun operativnog sustava prijavljen. A zatim možete pregledati oneu običnom tekstu. U početku to se čini strašnim, ali kako ste mislili da je automatsko punjenje funkcioniralo? Kada se to polje za zaporku popuni, Chrome mora unijeti pravi zaporku u element HTML obrasca - inače stranica neće raditi ispravno i ne možete poslati obrazac. A ako veza s web-mjestom ne završi s HTTPS-om, obični se tekst šalje preko interneta. Drugim riječima, ako krom ne može dobiti zaporke teksta, onda su potpuno beskorisni. Jedan način hash nije dobar, jer ih moramo koristiti.
Sada lozinke su zapravo šifrirane, jedini način da ih vratimo u običan tekst je imati ključ za dešifriranje. Taj je ključ Googleova zaporka ili sekundarni ključ koji možete postaviti. Kada se prijavite u Chrome i sinkronizirajte, Google poslužitelji prenose šifrirane zaporke, postavke, oznake, automatsko ispunjavanje itd. Na vaš lokalni stroj. Ovdje Chrome će dešifrirati te informacije i moći je koristiti.
Na kraju Googlea sve te informacije pohranjene su u njegovom okruženju i nemaju ključ za dešifriranje. Lozinka vašeg računa provjerava se na Googleovoj ljestvici za prijavu, pa čak i ako dopustite kromu da je zapamti, ta je šifrirana inačica skrivena u istom paketu kao i druge lozinke, a nemoguće je pristupiti. Tako je zaposlenik vjerojatno mogao iskoristiti deponiju šifriranih podataka, ali im to ne bi imalo dobro, jer ih ne bi mogli koristiti. *
Dakle, Google zaposlenici ne mogu ** pristupiti Vašim lozinkama, jer onisu šifrirani na svojim poslužiteljima.
* Međutim, ne zaboravite da bilo koji sustav kojemu može pristupiti ovlašteni korisnik može pristupiti neovlaštenog korisnika. Neki sustavi lakše se slomiti od ostalih, ali nitko nije pouzdan.,,Na taj način, mislim da ću povjerovati Googleu i milijunima koje troše na sigurnosne sustave, nad bilo kojim drugim rješenjem za pohranu lozinki. I pakao, ja sam glupan, lakše ću pobijediti lozinke od mene nego slomiti Google šifriranje.
** Također pretpostavljam da nema osobe koja se samo dogodi da Google dobije pristup vašem lokalnom računalu. U tom slučaju vi ste pijan, ali zapošljavanje na Googleu više nije faktor. Moralno: Hit Win + L prije napuštanja stroja.
Dok se složimo s zeelom da je prilično sigurna oklada( dokle god vaše računalo nije ugrožena) da su vaše lozinke u stvari sigurne dok se pohranjuju u Chromeu, radije šifriranje svih naših prijava i lozinki u trezoru LastPass.
Imate li što dodati objašnjenju? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
