4Aug
Ukladanie hesiel do vášho webového prehliadača sa javí ako skvelý šetrič času, ale sú heslá zabezpečené a nedostupné pre ostatných( dokonca aj pre zamestnancov spoločnosti prehliadača), keď sa rozišli?
Dnešná otázka &Odpoveď na zasadnutie nám príde s láskavým dovolením SuperUser - subdivíziu Stack Exchange, komunitne riadeného zoskupenia webových stránok Q & A.
Otázka
Čítačka SuperUser MMA je zvedavá, ak zamestnanci spoločnosti Google majú( alebo by mohli mať) prístup k heslá, ktoré ukladá v prehliadači Google Chrome:
Chápem, že sme skutočne pokúšaní uložiť heslá v prehliadači Google Chrome. Pravdepodobný prínos je dvojnásobný,
- Nemusíte( zapamätať si) vložiť tie dlhé a tajuplné heslá.
- Tieto sú k dispozícii všade, kde ste sa prihlásili do svojho účtu Google.
Posledný bod vyvolal moje pochybnosti. Keďže heslo je k dispozícii kdekoľvek , úložisko musí byť v niektorom centrálnom umiestnení a to by malo byť v spoločnosti Google.
Moja jednoduchá otázka je, môže zamestnanec spoločnosti Google vidieť moje heslá?
Vyhľadávanie na internete odhalilo niekoľko článkov / správ.
- Ukladáte heslá v prehliadači Chrome? Možno by ste mali zvážiť: Hovorí o tom, že vaše heslá boli ukradnuté niekým, kto má prístup k vášmu počítačovému účtu. Nič sa nespomína o centrálnej bezpečnosti a zraniteľnosti úložiska. Dokonca aj odpoveď od vedúceho technického poradcu prehliadača Chrome o prvom čísle.
- Chudobná stratégia zabezpečenia hesla Chrome: Väčšinou pozdĺž tej istej línie. Ak máte prístup k účtu počítača, môžete od neho odcudziť heslo.
- Ako ukradnúť heslá uložené v prehliadači Google Chrome v 5 jednoduchých krokoch: Učí vás, ako skutočne vykonať úkon spomínaný v predchádzajúcich dvoch, keď máte prístup k inému účtu.
Existuje oveľa viac( vrátane tohto na tejto stránke ), väčšinou pozdĺž tej istej línie, bodov, protismerov a obrovských diskusií.Nechám ich tu spomenúť, jednoducho vykonajte vyhľadávanie, ak ich chcete nájsť.
Ak sa vrátim k pôvodnému dotazu, môže zamestnanec spoločnosti Google vidieť heslo? Vzhľadom na to, že môžem zobraziť heslo pomocou jednoduchého tlačidla, určite môžu byť rozbalené( dešifrované), aj keď sú zašifrované.Toto je veľmi odlišné od hesiel uložených v operačných systémoch podobných operačným systémom Unix, kde sa uložené heslo nemôže nikdy zobraziť v obyčajnom texte.
Používajú jednosmerný šifrovací algoritmus na šifrovanie vašich hesiel. Toto šifrované heslo sa potom uloží do súboru passwd alebo tieňa. Pri pokuse o prihlásenie sa zadané heslo znova zašifruje a porovná sa so záznamom v súbore, ktorý ukladá vaše heslá.Ak sa zhodujú, musí to byť rovnaké heslo a máte povolený prístup. Preto superuser môže zmeniť svoje heslo, môžem zablokovať môj účet, ale nikdy nevidí moje heslo.
Také sú jeho obavy dobre podložené, alebo sa malý pohľad rozptýli jeho starosti?
Odpoveď
SuperUser prispievateľ Zeel pomáha uvoľniť svoju myseľ:
Krátka odpoveď: Nie *
Heslá uložené na vašom lokálnom počítači môžu byť dešifrované prehliadačom Chrome, pokiaľ je prihlásený používateľský účet systému OS.v čistom texte. Spočiatku sa to zdá byť hrozné, ale ako si myslíte, že pracuje automatická výplň?Po vyplnení tohto poľa hesla musí Chrome vložiť skutočné heslo do elementu formulára HTML - inak by stránka nefungovala správne a tento formulár ste nemohli odoslať.A ak pripojenie k webovej lokalite nie je cez protokol HTTPS, jednoduchý text sa potom pošle cez internet. Inými slovami, ak chróm nemôže získať heslá pre jednoduchý text, potom sú úplne zbytočné.Jednosmerný hash nie je dobrý, pretože ich potrebujeme použiť.
Teraz sú heslá v skutočnosti šifrované, jediný spôsob, ako ich dostať späť na čistý text, je mať dešifrovací kľúč.Týmto kľúčom je vaše heslo Google alebo sekundárny kľúč, ktorý môžete nastaviť.Keď sa prihlásite do prehliadača Chrome a synchronizujete, servery Google odošlú na váš lokálny počítač kódované heslá, nastavenia, záložky, automatické naplnenie atď.V tomto prípade Chrome dešifruje informácie a bude ich môcť používať.
Na konci Google sú všetky tieto informácie uložené vo svojom enkryptovanom stave a nemajú kľúč na ich dešifrovanie. Heslo vášho účtu je skontrolované na základe hesla na prihlásenie sa do služby Google a aj keď necháte chrome pamätať, šifrovaná verzia je skrytá v rovnakom balíku ako ostatné heslá, ktoré nemožno získať.Takže zamestnanec by pravdepodobne mohol chytiť skládku zašifrovaných dát, ale to by im nerobilo nič dobré, pretože by nemali žiadny spôsob, ako ich použiť. *
Takže nie, zamestnanci spoločnosti Google nemôžu ** pristupovať k vašim heslám, pretožesú šifrované na svojich serveroch.
* Nezabudnite však, že akýkoľvek systém, ku ktorému môže získať prístup autorizovaný používateľ, môže pristupovať neoprávneným používateľom. Niektoré systémy sa ľahšie zlomia ako iné, ale žiadne nie sú odolné voči chybám.,,Za týchto okolností sa domnievam, že budem dôverovať spoločnosti Google a miliónom, ktoré trávia v bezpečnostných systémoch, v porovnaní s akýmkoľvek iným riešením na ukladanie hesiel. A sakra, som strašidelný hlupák, bolo by ľahšie poraziť heslá zo mňa, ako by som rozbiť šifrovanie Google.
** Takisto predpokladám, že neexistuje osoba, ktorá by práve pracovala, aby spoločnosť Google získala prístup k vášmu miestnemu počítaču. V takom prípade ste skrutkovaní, ale zamestnanie v spoločnosti Google nie je skutočne faktorom. Morálne: Hit Win + L pred opustením stroja.
Aj keď súhlasíme so skupinou Zeel, že je to celkom bezpečná stávka( pokiaľ nie je váš počítač ohrozený), že vaše heslá sú skryté, pokiaľ sú uložené v prehliadači Chrome, uprednostňujeme šifrovanie všetkých prihlásení a hesiel v trezore LastPass.
Musíte niečo doplniť k vysvetleniu? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.
