4Aug
Stocarea parolelor în browser-ul dvs. pare a fi un economizor de timp excelent, dar parolele sunt sigure și inaccesibile altora( chiar și angajaților companiei de browser) atunci când sunt spulberați?
Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor web Q & A.
Întrebarea
SuperUser Reader MMA este curios dacă angajații Google au( sau ar putea avea) acces la parolele pe care le stochează în Google Chrome:
Înțeleg că suntem cu adevărat tentați să ne salvăm parolele în Google Chrome. Beneficiul probabil este de două ori,
- Nu este nevoie să memorați și să introduceți acele parole lungi și criptice.
- Acestea sunt disponibile oriunde v-ați conectat la contul dvs. Google.
Ultimul punct mi-a stârnit îndoiala. Deoarece parola este disponibilă oriunde , spațiul de stocare trebuie să fie în unele locații centrale, iar acest lucru ar trebui să fie la Google.
Acum, întrebarea mea este simplă, poate un angajat Google să-mi vadă parolele?
Căutarea pe Internet a dezvăluit mai multe articole / mesaje.
- Salvați parole în Chrome? Poate ar trebui să vă reamintiți: Discuțiile despre parolele dvs. fiind furate de cineva care are acces la contul dvs. de computer. Nu sa menționat nimic despre securitatea și vulnerabilitatea centralizată a stocării. Există chiar și un răspuns din partea conducătorului tehnic pentru securitatea browserului Chrome despre prima problemă.
- Strategia de securitate a parolei cronice de pe Chrome: în mare parte de-a lungul aceleiași linii. Puteți să furați parola de la cineva dacă aveți acces la contul computerului.
- Cum să fure parolele salvate în Google Chrome în 5 pași simpli: Vă învață cum să efectuați actul menționat în ultimele două când aveți acces la contul altcuiva.
Există multe altele( inclusiv pe acest site ), mai ales pe aceeași linie, puncte, contra-puncte, dezbateri imense. Refuz să le menționez aici, purtați pur și simplu o căutare dacă doriți să le găsiți.
Revenind la interogarea mea inițială, poate un angajat Google să-mi vadă parola? Deoarece pot vedea parola folosind un buton simplu, cu siguranță pot fi dezarhivate( decriptați) chiar dacă sunt criptate. Acest lucru este foarte diferit de parolele salvate în sistemul de operare de tip Unix, unde parola salvată nu poate fi văzută niciodată în text simplu.
Utilizează un algoritm de criptare într-o singură direcție pentru a cripta parolele. Această parolă criptată este apoi stocată în fișierul passwd sau umbra. Când încercați să vă conectați, parola introdusă este criptată din nou și comparată cu intrarea din fișierul care stochează parolele. Dacă se potrivesc, trebuie să fie aceeași parolă și vi se permite accesul. Astfel, un superuser îmi poate schimba parola, îmi poate bloca contul, dar nu-mi poate vedea parola.
Deci, preocupările lui sunt bine fondate sau o mică perspectivă va risipi îngrijorarea lui?
Raspuns
Contribuitor SuperUser Zeel ajuta sa-si usureze mintea:
Raspuns scurt: Nu *
Parolele stocate pe masina ta pot fi decriptate de Chrome atata timp cat contul de utilizator al sistemului de operare este conectat.în text simplu. La început acest lucru pare oribil, dar cum credeați că a funcționat funcția de auto-umplere? Când câmpul de parolă este completat, Chrome trebuie să introducă parola reală în elementul de formă HTML - altfel pagina nu ar funcționa corect și nu ați putea trimite formularul.Și dacă conexiunea la site nu este peste HTTPS, textul simplu este apoi trimis prin internet. Cu alte cuvinte, dacă cromul nu poate obține parolele textului simplu, acestea sunt total inutile. Un hash cu o singură cale nu este bun, pentru că trebuie să le folosim.
Acum, parolele sunt criptate, singura modalitate de a le readuce la text simplu este să aveți cheia de decriptare. Acea cheie este parola dvs. Google sau o cheie secundară pe care o puteți configura. Când vă conectați la Chrome și sincronizați, serverele Google vor transmite parolele criptate, setările, marcajele, auto-umplerea etc. pe mașina dvs. locală.Aici Chrome va decripta informațiile și va putea să le utilizeze.
La sfârșitul Google, toate aceste informații sunt stocate în starea lor criptată și nu au cheia pentru ao decripta. Parola contului dvs. este verificată în funcție de hash pentru a vă conecta la Google și chiar dacă lăsați-l să rețină cromul, acea versiune criptată este ascunsă în același pachet ca celelalte parole, imposibil de accesat. Deci, un angajat ar putea lua probabil o cantitate de date criptate, dar nu le-ar face nici un bine, deoarece nu ar avea cum să o folosească. *
Deci nu, angajații Google nu pot ** să vă acceseze parolele,sunt criptate pe serverele lor.
* Cu toate acestea, nu uitați că orice sistem care poate fi accesat de un utilizator autorizat poate fi accesat de un utilizator neautorizat. Unele sisteme sunt mai ușor de întrerupt decât altele, dar nici unul nu este sigur...Acestea fiind spuse, cred că voi avea încredere în Google și în milioane de clienți pe care le cheltuiesc pentru sistemele de securitate, față de orice altă soluție de stocare a parolelor.Și, băieți, sunt un băiețel, ar fi mai ușor să învinge parolele decât să rup criptarea Google.
** De asemenea, presupun că nu există o persoană care se întâmplă să lucreze pentru ca Google să aibă acces la mașina dvs. locală.În acest caz, sunteți înșelat, însă ocuparea forței de muncă la Google nu este de fapt un factor. Moral: Hit Win + L înainte de a părăsi mașina.
În timp ce suntem de acord cu Zeel că este un pariu destul de sigur( atâta timp cât computerul nu este compromis) că parolele dvs. sunt de fapt sigure în timp ce sunt stocate în Chrome, preferăm să cripteze toate datele de conectare și parolele într-un seif LastPass.
Trebuie să adăugați ceva la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.