4Aug
A jelszavak tárolása a webböngészőben úgy tűnik, mint egy nagyszerű időmegtakarító, de a jelszavak biztonságosak és nem érhetők el mások( még a böngésző cég alkalmazottai) számára is, amikor mágnesesen távolodnak el?
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.
Az
SuperUser olvasó kérdése Az MMA kíváncsi, ha a Google alkalmazottai hozzáférnek a( z) Google Chrome böngészőben tárolt jelszavaihoz:(
) Megértettem, hogy valóban kísértésbe akarod menteni a jelszavakat a Google Chrome-ban. A valószínű előny kétszeres,
- Nem szükséges( memorizálni és beírni) azokat a hosszú és rejtélyes jelszavakat.
- Ezek bárhol elérhetők, amikor bejelentkezik a Google-fiókjába.
Az utolsó pont kitalálta a kétségemet. Mivel a jelszó elérhető bárhol , a tárolásnak központi helyen kell lennie, és ez a Google-nál kell.
Most az egyszerű kérdésem az, vajon a Google alkalmazottja megnézheti-e a jelszavamat?
Az interneten történő keresés több cikket / üzenetet fedett fel.
- Jelszavakat ment a Chrome-ban? Talán újra kell gondolnia: A jelszavakat ellopja valaki, aki hozzáfér a számítógépes fiókjához. Semmi nem említette a központi tároló biztonságát és sérülékenységét. Még egy válasz a Chrome böngésző biztonsági tech vezet az első kiadás.
- Chrome őrült jelszavas biztonsági stratégiája: Többnyire ugyanazon a soron. Ha valaki hozzáférhet a számítógép fiókjához, akkor ellophatja a jelszavát.
- A Google Chrome-ban mentett jelszavak elrejtése 5 egyszerű lépésben: Megtanítja, hogyan végezheti el ténylegesen az aktusát, amelyet az előző kétben említett, amikor valaki más fiókjához fér hozzá.
Sok más( beleértve ezt az -t ezen az oldalon ), többnyire ugyanazon a vonalon, pontokon, ellenpontokon, hatalmas vitákon. Nem említem meg őket, egyszerűen végezzenek keresést, ha megtalálni őket.
Visszatérve az eredeti lekérdezésemhez, egy Google-alkalmazott láthatja a jelszavamat? Mivel a jelszót egy egyszerű gombbal lehet megnézni, biztosan el is lehet törölni( titkosítva), még ha titkosított is. Ez nagyon különbözik a Unix-szerű operációs rendszerekben mentett jelszavaktól, ahol a mentett jelszó sosem látható egyszerű szöveges formában.
A jelszavak titkosításához egyirányú titkosítási algoritmust használnak. Ez a titkosított jelszó a passwd vagy az árnyékfájlban tárolódik. Amikor bejelentkezni próbálkozik, a beírt jelszó újra titkosítva lesz, és összehasonlítja a jelszavakat tartalmazó fájllal. Ha megfelelnek, azonos jelszóval kell rendelkeznie, és hozzáférést kell biztosítania.Így egy felhatalmazó megváltoztathatja a jelszavamat, letilthatja fiókomat, de soha nem látja a jelszavamat.
Tehát az aggodalmai megalapozottak vagy kis betekintést engednek el az aggodalmából?
A válasz
A SuperUser közreműködője, a Zeel segít könnyedén nyugodni:
Rövid válasz: Nem *
A Chrome-ban a számítógépén tárolt jelszavak lecsatolhatók, feltéve, hogy az operációs rendszer felhasználói fiókja be van jelentkezve.szöveges formában. Eleinte ez borzalmasnak tűnik, de hogyan gondolta, hogy az automatikus kitöltés működött? Amikor ez a jelszó mező kitöltődik, a Chromenek be kell helyeznie a valódi jelszót a HTML űrlapelembe - vagy pedig az oldal nem működne megfelelően, és nem tudta elküldeni az űrlapot.És ha a weboldalra mutató kapcsolat nem ér véget a HTTPS-nek, a sima szöveget elküldik az interneten. Más szavakkal, ha a króm nem képes a szöveges jelszavakat, akkor teljesen használhatatlanok. Az egyirányú hash nem jó, mert használnunk kell őket.
Most a jelszavak valójában titkosítottak, az egyetlen módja annak, hogy visszaállítsák őket a sima szöveghez, hogy a dekódoló kulcs legyen. Ez a kulcs a Google-jelszava vagy egy másodlagos kulcs, amelyet beállíthat. Amikor bejelentkezik a Chrome-ba és szinkronizálja a Google szervereit, az titkosított jelszavakat, beállításokat, könyvjelzőket, automatikus kitöltést stb. Elküldi a helyi gépre. Itt a Chrome dekódolja az adatokat, és képes lesz használni.
A Google végére az összes információ tárolt állapotában van tárolva, és nincs kulcsuk a dekódolásra. A fiókjához tartozó jelszót bejelölte a Google-lal való bejelentkezéshez, és még akkor is, ha hagyja, hogy a króm emlékezzen rá, ez a titkosított verzió ugyanabban a csomagban van elrejtve, mint a többi jelszó, amelyet nem lehet elérni. Tehát a munkavállaló valószínűleg megragadhatja a titkosított adatok dumpját, de nem lenne jó nekik, mert nem tudták használni. *
Tehát nem, a Google alkalmazottai nem tudnak hozzáférni a jelszavaihoz, miveltitkosítva vannak a szervereiken.
* Mindazonáltal ne felejtsük el, hogy bármely olyan rendszer, amelyhez egy jogosult felhasználó férhet hozzá, jogosulatlan felhasználóhoz férhet hozzá.Néhány rendszer könnyebb megszakadni, mint más, de egyik sem hibás...Ezt mondják, azt hiszem, bízni fogok a Google-ban és a milliókban, amelyeket a biztonsági rendszerekre költenek, minden más jelszó-tárolási megoldás felett.És a fenébe, én egy nyájas néger, könnyebb lenne legyőzni a jelszavakat, mint megtörni a Google titkosítását.
** Azt is feltételezem, hogy nincs olyan személy, aki csak azért dolgozik, mert a Google hozzáférést kapott a helyi géphez. Ebben az esetben csavarodtál, de a Google-nál a foglalkoztatás már nem tényleges tényező.Erkölcs: Hitelés + L a gép elhagyása előtt.
Miközben egyetértünk a zeelel, hogy elég biztonságos tét( mindaddig, amíg a számítógépe nincs veszélyeztetve), hogy a jelszavai valóban biztonságosak a Chrome-ban tárolva, előnyben részesítjük minden bejelentkezésünket és jelszavukat a LastPass boltívben.
Van valami, amit hozzá lehet adni a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.