4Aug
Menyimpan kata sandi Anda di browser web Anda sepertinya merupakan penghemat waktu yang hebat, namun apakah kata sandinya aman dan tidak dapat diakses orang lain( bahkan karyawan perusahaan peramban) saat disinggung?
Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin SuperUser - subdivisi dari Stack Exchange, pengelompokan berbasis komunitas dari Q & A situs web.
Pertanyaan
Pembaca superuser MMA ingin tahu apakah karyawan Google memiliki( atau bisa memiliki) akses ke kata kunci yang dia simpan di Google Chrome:
Saya mengerti bahwa kami benar-benar tergoda untuk menyimpan kata sandi kami di Google Chrome. Manfaat yang mungkin didapat adalah dua kali lipat,
- Anda tidak perlu( menghafal dan) memasukkan kata sandi panjang dan samar.
- Ini tersedia dimanapun Anda berada saat Anda masuk ke akun Google Anda.
Poin terakhir memicu keraguan saya. Karena sandi tersedia di manapun , penyimpanan harus berada di beberapa lokasi pusat, dan ini harus berada di Google.
Sekarang, pertanyaan saya yang sederhana adalah, bisakah karyawan Google melihat kata sandi saya?
Pencarian melalui Internet mengungkapkan beberapa artikel / pesan.
- Apakah Anda menyimpan kata sandi di Chrome? Mungkin sebaiknya Anda mempertimbangkan kembali: Pembicaraan tentang kata kunci Anda dicuri oleh seseorang yang memiliki akses ke akun komputer Anda. Tidak ada yang disebutkan tentang keamanan dan kerentanan penyimpanan pusat. Bahkan ada respon dari browser keamanan Chrome yang memimpin teknologi tentang isu pertama.
- Strategi keamanan kata sandi gila Chrome: Biasanya di sepanjang baris yang sama. Anda bisa mencuri password dari seseorang jika Anda memiliki akses ke akun komputer.
- Cara Mencuri Kata Sandi yang Disimpan di Google Chrome dalam 5 Langkah Sederhana: Mengajarkan Anda bagaimana sebenarnya melakukan tindakan yang disebutkan di dua sebelumnya bila Anda memiliki akses ke akun orang lain.
Masih banyak lagi( termasuk yang ada di situs ini), kebanyakan berada di jalur yang sama, poin, poin tanggapan, perdebatan besar. Saya menahan diri untuk tidak menyebutkannya di sini, cukup telusuri jika Anda ingin menemukannya.
Kembali ke permintaan asli saya, bisakah karyawan Google melihat kata sandi saya? Karena saya bisa melihat kata sandi dengan menggunakan tombol sederhana, pastinya bisa di-unhashed( didekripsi) meski dienkripsi. Ini sangat berbeda dengan kata sandi yang tersimpan di OS seperti Unix dimana password yang tersimpan tidak dapat dilihat dalam teks biasa.
Mereka menggunakan algoritma enkripsi satu arah untuk mengenkripsi kata sandi Anda. Password terenkripsi ini kemudian disimpan dalam file passwd atau shadow. Saat Anda mencoba masuk, kata sandi yang Anda ketik dienkripsi lagi dan dibandingkan dengan entri di file yang menyimpan kata sandi Anda. Jika cocok, itu harus sama dengan password, dan Anda diperbolehkan mengaksesnya. Dengan demikian, superuser bisa mengganti kata sandi saya, bisa memblokir akun saya, tapi dia tidak pernah bisa melihat kata sandi saya.
Jadi apakah kekhawatirannya berkembang dengan baik atau akan sedikit wawasan menghilangkan kekhawatirannya?
Jawaban
Kontributor Superuser Zeel membantu menenangkan pikiran:
Jawaban singkat: Tidak *
Sandi yang tersimpan di mesin lokal Anda dapat didekripsi oleh Chrome, selama akun pengguna OS Anda masuk. Dan Anda dapat melihat merekadalam teks biasaAwalnya ini nampaknya mengerikan, tapi bagaimana menurut Anda auto-fill bekerja? Saat bidang kata kunci terisi, Chrome harus memasukkan kata kunci sebenarnya ke elemen bentuk HTML - atau laman tidak akan berfungsi dengan benar, dan Anda tidak dapat mengirimkan formulir. Dan jika koneksi ke situs web tidak melalui HTTPS, teks biasa kemudian dikirim melalui internet. Dengan kata lain, jika krom tidak bisa mendapatkan kata kunci teks biasa, berarti sama sekali tidak berguna. Hash satu arah tidak baik, karena kita perlu menggunakannya.
Sekarang kata sandi sebenarnya dienkripsi, satu-satunya cara agar mereka kembali ke teks biasa adalah dengan memiliki kunci dekripsi. Kunci itu adalah kata sandi Google Anda, atau kunci sekunder yang dapat Anda atur. Saat Anda masuk ke Chrome dan menyinkronkan server Google akan mengirimkan yang terenkripsi dengan , pengaturan, bookmark, pengisian otomatis, dll ke mesin lokal Anda. Disini Chrome akan mendekripsi informasi dan bisa menggunakannya.
Di akhir Google, semua info tersimpan dalam statusnya yang encrpyt, dan mereka tidak memiliki kunci untuk mendekripsinya. Kata sandi akun Anda diperiksa terhadap hash untuk masuk ke Google, dan bahkan jika Anda membiarkan krom mengingatnya, versi terenkripsi tersebut disembunyikan dalam kumpulan yang sama dengan kata kunci lainnya, tidak mungkin diakses. Jadi, seorang karyawan mungkin bisa mengambil dump dari data yang dienkripsi, tapi itu tidak akan membantu mereka, karena mereka tidak memiliki cara untuk menggunakannya. *
Jadi tidak, karyawan Google tidak dapat mengakses kata kunci Anda, karena merekadienkripsi di server mereka
* Namun, jangan lupa bahwa setiap sistem yang dapat diakses oleh pengguna yang berwenang dapat diakses oleh pengguna yang tidak sah. Beberapa sistem lebih mudah dipecah daripada yang lain, namun tidak ada yang gagal-terbukti...Dengan kata lain, saya rasa saya akan mempercayai Google dan jutaan yang mereka belanjakan untuk sistem keamanan, selain solusi penyimpanan kata kunci lainnya. Dan heck, saya adalah seorang nerd wimpy, akan lebih mudah untuk mengalahkan password dari saya daripada memecahkan enkripsi Google.
** Saya juga mengasumsikan bahwa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke mesin lokal Anda. Dalam hal ini Anda kacau, namun pekerjaan di Google sebenarnya bukan faktor lagi. Moral: Hit Win + L sebelum meninggalkan mesin.
Meskipun kami setuju dengan zeel bahwa ini adalah taruhan yang cukup aman( selama komputer Anda tidak terganggu) bahwa kata kunci Anda sebenarnya aman saat disimpan di Chrome, kami lebih suka mengenkripsi semua info masuk dan kata sandi kami di kubah LastPass.
Punya sesuatu untuk ditambahkan ke penjelasan? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.