4Aug
Przechowywanie haseł w przeglądarce internetowej wydaje się być świetnym sposobem na zaoszczędzenie czasu, ale czy hasła są bezpieczne i niedostępne dla innych( nawet pracowników firmy przeglądarkowej), gdy są zgniecione?
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupy Q & A.
Pytanie Czytnik
SuperUser MMA jest ciekawy, czy pracownicy Google mają( lub mogą mieć) dostęp do haseł, które przechowuje w Google Chrome:
Rozumiem, że naprawdę mamy ochotę zapisać nasze hasła w Google Chrome. Prawdopodobną korzyścią jest dwojakie,
- Nie musisz( zapamiętywać i) wprowadzać tych długich i tajemniczych haseł.
- Są one dostępne w dowolnym miejscu po zalogowaniu się na konto Google.
Ostatni punkt wywołał moje wątpliwości. Ponieważ hasło jest dostępne w dowolnym miejscu , pamięć musi znajdować się w centralnej lokalizacji, a to powinno być w Google.
Teraz moje proste pytanie brzmi, czy pracownik Google może zobaczyć moje hasła?
Wyszukiwanie przez Internet ujawniło kilka artykułów / wiadomości.
- Czy zapisujesz hasła w Chrome? Może powinieneś ponownie rozważyć: Rozmowy o kradzieży haseł przez kogoś, kto ma dostęp do Twojego konta komputera. Nic nie wspomniało o bezpieczeństwie i luce w zabezpieczeniach centralnego magazynu. Odpowiedź na pytanie o pierwszy problem pochodzi nawet od specjalisty ds. Zabezpieczeń przeglądarki Chrome.
- Szałowa strategia zabezpieczania haseł Chrome: głównie wzdłuż tej samej linii. Możesz ukraść hasło komuś, jeśli masz dostęp do konta komputera.
- Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach: Nauczy Cię, jak faktycznie wykonać akt wspomniany w poprzednich dwóch, kiedy masz dostęp do czyjegoś konta.
Jest o wiele więcej( w tym ten w na tej stronie ), głównie wzdłuż tej samej linii, punktów, kontrapunktów, olbrzymich debat. Nie wspominam o nich tutaj, po prostu szukaj, jeśli chcesz je znaleźć.
Wracając do mojego pierwotnego zapytania, pracownik Google może zobaczyć moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, z pewnością można je odhasować( odszyfrować), nawet jeśli są zaszyfrowane. Różni się to znacznie od haseł zapisanych w uniksopodobnych systemach operacyjnych, w których zapisane hasło nigdy nie będzie widoczne w postaci zwykłego tekstu.
Używają one jednokierunkowego algorytmu szyfrowania do szyfrowania haseł.To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Podczas próby logowania hasło, które wpisujesz, jest ponownie szyfrowane i porównywane z wpisem w pliku przechowującym twoje hasła. Jeśli pasują, musi być to samo hasło, a ty masz dostęp. Tak więc superużytkownik może zmienić moje hasło, może zablokować moje konto, ale nigdy nie zobaczy mojego hasła.
Czy jego obawy są uzasadnione, czy też mały wgląd rozwiać jego niepokój?
Odpowiedź Pomocnik
SuperUser Zeel pomaga uspokoić umysł:
Krótka odpowiedź: Nie *
Hasła przechowywane na komputerze lokalnym mogą być odszyfrowane przez Chrome, o ile konto użytkownika systemu operacyjnego jest zalogowane. Następnie możesz je wyświetlićw zwykłym tekście. Na początku wydaje się to okropne, ale w jaki sposób działało automatyczne wypełnianie? Gdy pole hasła zostanie wypełnione, Chrome musi wstawić prawdziwe hasło do elementu formularza HTML - w przeciwnym razie strona nie będzie działać poprawnie i nie można przesłać formularza. A jeśli połączenie z witryną nie jest za pośrednictwem HTTPS, zwykły tekst jest przesyłany przez Internet. Innymi słowy, jeśli chrome nie może uzyskać hasła zwykłego tekstu, są one całkowicie bezużyteczne. Hash jednokierunkowy nie jest dobry, ponieważ musimy z nich korzystać.
Teraz hasła są w rzeczywistości zaszyfrowane, jedynym sposobem na przywrócenie ich do zwykłego tekstu jest posiadanie klucza odszyfrowywania. Ten klucz to Twoje hasło Google lub klucz dodatkowy, który możesz skonfigurować.Po zalogowaniu się w Chrome i zsynchronizowaniu serwery Google przesyłają zaszyfrowane hasła, ustawienia, zakładki, automatyczne uzupełnianie itp. Do urządzenia lokalnego. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.
Na końcu Google wszystkie te informacje są przechowywane w stanie encrpyted i nie mają klucza do odszyfrowania. Twoje hasło do konta jest sprawdzane na podstawie hasha, aby zalogować się do Google, a nawet jeśli pozwolisz mu je zapamiętać, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie, co inne hasła, do których nie można uzyskać dostępu. Tak więc pracownik mógłby prawdopodobnie pobrać zrzut zaszyfrowanych danych, ale nie zrobiłoby im to nic dobrego, ponieważ nie mogliby go użyć. *
Więc nie, pracownicy Google nie mogą ** uzyskać dostępu do twoich haseł, ponieważsą zaszyfrowane na swoich serwerach.
* Nie zapomnij jednak, że dostęp do dowolnego systemu, do którego ma dostęp upoważniony użytkownik, może uzyskać nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żadne nie są odporne na awarie...Mając na uwadze powyższe, myślę, że zaufam Google i milionom, które wydadzą na systemy bezpieczeństwa, na wszelkie inne rozwiązania do przechowywania haseł.I do diabła, jestem zwinnym frajerem, łatwiej byłoby pokonać hasła niż złamać szyfr Google'a.
** Zakładam również, że nie ma osoby, która akurat pracuje dla Google, uzyskując dostęp do twojego komputera lokalnego. W takim przypadku jesteś spieprzony, ale zatrudnienie w Google nie jest już tak naprawdę czynnikiem. Moralne: Hit Win + L przed opuszczeniem maszyny.
Chociaż zgadzamy się ze Zeelem, że jest to całkiem bezpieczny zakład( o ile komputer nie jest naruszony), że twoje hasła są rzeczywiście bezpieczne podczas przechowywania w Chrome, wolimy szyfrować wszystkie nasze loginy i hasła w przechowalni LastPass.
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.