4Aug
Lagring av passordene i nettleseren din virker som en god tidsbesparende, men er passordene trygge og utilgjengelige for andre( selv ansatte i nettleserfirmaet) når det er ekornet bort?
Dagens spørsmål &Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser-leser MMA er nysgjerrig om Google-ansatte har( eller kunne ha) tilgang til passordene han lagrer i Google Chrome:
Jeg forstår at vi virkelig er fristet til å lagre passordene våre i Google Chrome. Den sannsynlige fordelen er to ganger,
- Du trenger ikke å( huske og) skrive inn de lange og kryptiske passordene.
- Disse er tilgjengelige uansett hvor du er en gang du logger deg på Google-kontoen din.
Det siste punktet ga meg tvil. Siden passordet er tilgjengelig hvor som helst , må lagringsplassen være sentralt, og dette bør være på Google.
Nå er mitt enkle spørsmål, kan en Google-ansatt se passordene mine?
Søker over Internett avslørte flere artikler / meldinger.
- Lagrer du passord i Chrome? Kanskje du bør revurdere: Snakk om passordene dine blir stjålet av noen som har tilgang til datamaskinens konto. Ingenting nevnt om den sentrale lagringssikkerheten og sårbarheten. Det er enda et svar fra Chrome-nettleserens sikkerhetsteknologi om det første problemet.
- Chrome's vanvittige passord sikkerhetsstrategi: For det meste langs samme linje. Du kan stjele passord fra noen hvis du har tilgang til datamaskinens konto.
- Hvordan stjele passord lagret i Google Chrome i 5 enkle trinn: Lærer deg hvordan du faktisk utfører -handlingen nevnt i de to foregående når du har tilgang til en andres konto.
Det er mange flere( inkludert denne på denne siden ), for det meste på samme linje, poeng, motpoeng, store debatter. Jeg avstår fra å nevne dem her, bare bære et søk hvis du vil finne dem.
Kommer tilbake til mitt opprinnelige spørsmål, kan en Google-ansatt se passordet mitt? Siden jeg kan se passordet ved hjelp av en enkel knapp, kan de definitivt bli dekodet( dekryptert), selv om de er kryptert. Dette er svært forskjellig fra passordene lagret i Unix-lignende OS der det lagrede passordet aldri kan ses i vanlig tekst.
De bruker en enveis krypteringsalgoritme for å kryptere passordene dine. Dette krypterte passordet lagres da i passord- eller skyggefilen. Når du prøver å logge inn, er passordet du skriver inn kryptert igjen og sammenlignet med oppføringen i filen som lagrer passordene dine. Hvis de samsvarer, må det være det samme passordet, og du får tilgang. Således kan en superbruker endre passordet mitt, kan blokkere kontoen min, men han kan aldri se passordet mitt.
Så er hans bekymringer velbegrunnet eller vil litt innsikt ødelegge hans bekymring?
Svaret
SuperUser-bidragsyter Zeel hjelper til med å tenke seg rolig:
Kort svar: Nei *
Passord lagret på din lokale maskin kan dekrypteres av Chrome, så lenge du har logget på OS-brukerkontoen din. Og så kan du se demi ren tekst. I begynnelsen virker dette forferdelig, men hvordan syntes du at autofyllingen fungerte? Når passordfeltet blir fylt ut, må Chrome sette det ekte passordet inn i HTML-skjemaelementet - ellers ville siden ikke fungere riktig, og du kunne ikke sende skjemaet. Og hvis forbindelsen til nettstedet ikke er over HTTPS, blir den rene teksten sendt over internett. Med andre ord, hvis krom ikke får ordene med vanlig tekst, er de helt ubrukelige. En enveis hash er ikke bra, fordi vi må bruke dem.
Nå er passordene faktisk kryptert, den eneste måten å få dem tilbake til ren tekst er å ha dekrypteringsnøkkelen. Denne nøkkelen er ditt Google-passord, eller en sekundærnøkkel du kan konfigurere. Når du logger på Chrome og synkroniserer, sender Google-serverne -krypterte -passord, innstillinger, bokmerker, automatisk fylling, osv. Til din lokale maskin. Her dekrypterer Chrome informasjonen og kan bruke den.
På Googles slutt er all den informasjonen lagret i kodet tilstand, og de har ikke nøkkelen til å dekryptere den. Kontopassordet ditt er sjekket mot en hash for å logge på Google, og selv om du lar krom huske det, er den krypterte versjonen skjult i samme pakke som de andre passordene, umulig å få tilgang til. Så en ansatt kunne nok få tak i en dump av krypterte data, men det ville ikke gjøre dem noe bra, siden de ikke hadde mulighet til å bruke den. *
Så nei, kan Google-ansatte ikke ** få tilgang til passordene dine, siden deer kryptert på sine servere.
* Ikke glem at et system som kan nås av en autorisert bruker, kan nås av en uautorisert bruker. Noen systemer er lettere å bryte enn andre, men ingen er sviktfrie...Når det er sagt, tror jeg jeg vil stole på Google og de millioner de bruker på sikkerhetssystemer, over alle andre lagringsløsninger for passord. Og heck, jeg er en wimpy nerd, det ville være lettere å slå passordene ut av meg enn å bryte Googles kryptering.
** Jeg antar også at det ikke er noen som bare skjer for å få Google til å få tilgang til din lokale maskin. I så fall er du skrudd, men ansettelse hos Google er egentlig ikke en faktor lenger. Moral: Hit Win + L før du forlater maskinen.
Selv om vi er enige med zeel om at det er en ganske sikker innsats( så lenge datamaskinen ikke blir kompromittert) at passordene dine faktisk er trygge mens de lagres i Chrome, foretrekker vi å kryptere alle våre pålogginger og passord i et LastPass-hvelv.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.