4Aug
Het opslaan van uw wachtwoorden in uw webbrowser lijkt een geweldige tijdsbesparing, maar zijn de wachtwoorden veilig en ontoegankelijk voor anderen( zelfs werknemers van het browserbedrijf) wanneer ze weg worden weggejaagd?
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
De vraag
SuperUser-lezer MMA is benieuwd of Google-werknemers toegang hebben( of kunnen hebben) tot de wachtwoorden die hij in Google Chrome opslaat:
Ik begrijp dat we echt in de verleiding komen om onze wachtwoorden in Google Chrome op te slaan. Het waarschijnlijke voordeel is tweevoudig,
- U hoeft deze lange en cryptische wachtwoorden niet( onthouden en) in te voeren.
- Deze zijn overal beschikbaar waar u bent wanneer u zich aanmeldt bij uw Google-account.
Het laatste punt leidde tot mijn twijfel. Aangezien het wachtwoord overal , , beschikbaar is, moet de opslag op een centrale locatie plaatsvinden en dit moet bij Google zijn.
Mijn eenvoudige vraag is nu: kan een medewerker van Google mijn wachtwoorden zien?
Zoeken via internet onthulde verschillende artikelen / berichten.
- Bewaar je wachtwoorden in Chrome? Misschien moet u heroverwegen: spreekt over uw wachtwoorden die worden gestolen door iemand die toegang heeft tot uw computeraccount. Niets vermeld over de centrale opslagbeveiliging en kwetsbaarheid. Er is zelfs een reactie van Chrome-browserbeveiligingstechnologie voor het eerste probleem.
- De waanzinnige wachtwoordbeveiligingsstrategie van Chrome: meestal op dezelfde lijn. U kunt het wachtwoord van iemand stelen als u toegang hebt tot het computeraccount.
- Wachtwoorden gestolen in Google Chrome stelen in 5 eenvoudige stappen: leert u hoe u de -handeling die in de vorige twee genoemd werd, daadwerkelijk kunt uitvoeren wanneer u toegang hebt tot het account van iemand anders.
Er zijn er nog veel meer( waaronder deze op deze site ), meestal langs dezelfde lijn, punten, tegenpunten, grote debatten. Ik onthoud ze hier te vermelden, draag gewoon een zoekopdracht als je ze wilt vinden.
Kan een medewerker van Google mijn wachtwoord zien als ik terugkom op mijn oorspronkelijke vraag? Omdat ik het wachtwoord met een eenvoudige knop kan bekijken, kunnen ze absoluut ongeschonden( versleuteld) worden, zelfs als ze gecodeerd zijn. Dit is heel anders dan de wachtwoorden die zijn opgeslagen in Unix-achtige besturingssystemen, waar het opgeslagen wachtwoord nooit in gewone tekst kan worden gezien.
Ze gebruiken een one-way encryptie-algoritme om uw wachtwoorden te versleutelen. Dit versleutelde wachtwoord wordt vervolgens opgeslagen in het passwd- of schaduwbestand. Wanneer u probeert in te loggen, wordt het wachtwoord dat u typt opnieuw versleuteld en vergeleken met het item in het bestand waarin uw wachtwoorden zijn opgeslagen. Als ze overeenkomen, moet dit hetzelfde wachtwoord zijn en hebt u toegang. Een superuser kan dus mijn wachtwoord wijzigen, kan mijn account blokkeren, maar hij kan mijn wachtwoord nooit zien.
Zijn zijn zorgen dan ook gegrond of zal een klein beetje inzicht zijn zorgen wegnemen?
Het antwoord
SuperUser-bijdrager Zeel helpt hem op zijn gemak te stellen:
Kort antwoord: Nee *
Wachtwoorden die op uw lokale computer zijn opgeslagen, kunnen door Chrome worden gedecodeerd, zolang uw OS-gebruikersaccount is aangemeld. En dan kunt u die bekijkenin platte tekst. In eerste instantie lijkt dit vreselijk, maar hoe vond u dat automatisch vullen werkte? Wanneer dat wachtwoordveld wordt ingevuld, moet Chrome het echte wachtwoord invoegen in het HTML-formulierelement - anders werkt de pagina niet goed en kunt u het formulier niet verzenden. En als de verbinding met de website niet over HTTPS verloopt, wordt de onbewerkte tekst vervolgens via internet verzonden. Met andere woorden, als Chrome de wachtwoorden voor platte tekst niet kan krijgen, zijn ze totaal nutteloos. Een one-way hash is niet goed, omdat we ze moeten gebruiken.
Nu zijn de wachtwoorden in feite gecodeerd, de enige manier om ze terug te brengen naar platte tekst is om de decoderingssleutel te hebben. Die sleutel is uw Google-wachtwoord of een secundaire sleutel die u kunt instellen. Wanneer u inlogt bij Chrome en synchroniseert, verzenden de servers van Google de -gecodeerde -wachtwoorden, instellingen, bladwijzers, automatisch aanvullen enz. Naar uw lokale computer. Hier zal Chrome de informatie decoderen en kunnen gebruiken.
Op Google's einde worden al die info opgeslagen in de verscrypte status en hebben ze niet de sleutel om deze te decoderen. Het wachtwoord van uw account wordt vergeleken met een hash om in te loggen bij Google. Zelfs als u Chrome dit laat onthouden, is die gecodeerde versie verborgen in dezelfde bundel als de andere wachtwoorden, die niet toegankelijk zijn. Dus een medewerker zou waarschijnlijk een stortje van de versleutelde gegevens kunnen pakken, maar dat zou ze niet goed doen, omdat ze geen manier zouden hebben om het te gebruiken. *
Dus nee, Google-medewerkers kunnen geen ** toegang krijgen tot je wachtwoorden, omdat zezijn gecodeerd op hun servers.
* Vergeet echter niet dat elk systeem waartoe een geautoriseerde gebruiker toegang heeft, toegankelijk is voor een niet-geautoriseerde gebruiker. Sommige systemen zijn gemakkelijker te doorbreken dan andere, maar geen enkele is fail-proof...Dat gezegd zijnde, ik denk dat ik Google en de miljoenen die ze aan beveiligingssystemen uitgeven, zal vertrouwen op alle andere oplossingen voor wachtwoordopslag. En ach, ik ben een slappe nerd, het zou gemakkelijker zijn om de wachtwoorden uit me te slaan dan de codering van Google te verbreken.
** Ik ga er ook van uit dat er geen persoon is die toevallig voor Google werkt om toegang te krijgen tot uw lokale computer. In dat geval ben je genaaid, maar de tewerkstelling bij Google is eigenlijk geen factor meer. Moraal: druk op Win + L voordat je de machine verlaat.
Hoewel we het eens zijn met zeel dat het een redelijk veilige gok is( zolang uw computer niet wordt aangetast) dat uw wachtwoorden in feite veilig zijn terwijl ze in Chrome zijn opgeslagen, coderen we liever al onze aanmeldingen en wachtwoorden in een kluis van LastPass.
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de opmerkingen. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.