4Aug
Shranjevanje gesel v vašem spletnem brskalniku se zdi kot odličen časovno varčevalec, a so gesla varna in nedostopna drugim( tudi zaposlenim v podjetju brskalnika), ko se skrivajo?
Današnje vprašanje &S sejo odgovora prihaja uporaba SuperUserja, ki je razdeljena na Stack Exchange, skupinsko spletno stran Q & A.
Vprašalnik
SuperUser bralec MMA je radoveden, če imajo zaposleni v Googlu dostop do gesel, ki jih hrani v Google Chromu:
Razumem, da smo v resnici skušali shraniti naša gesla v Google Chromu. Verjetna korist je dvakrat,
- Ni vam treba( zapomniti in vnašati) ta dolga in kriptična gesla.
- Te so na voljo, kjer koli ste, ko se prijavite v svoj Google Račun.
Zadnja točka je vzbudila moj dvom. Ker je geslo na voljo povsod , mora biti shranjevanje na neki osrednji lokaciji, to pa mora biti v Googlu.
Zdaj, moje preprosto vprašanje je, ali lahko zaposleni v Googlu vidi moja gesla?
Iskanje po internetu je razkrilo več člankov / sporočil.
- Ali shranjujete gesla v Chromu? Morda bi morali ponovno razmisliti: Pogovori o geslih, ki jih je ukradel nekdo, ki ima dostop do računalnika. Nič ni omenil o osrednji varnostni zaščiti in ranljivosti. Obstaja celo odgovor brskalnika Chrome za zaščito brskalnika o prvi izdaji.
- Varnostna strategija za zaščito gesla Chrome: večinoma po isti vrstici. Kdo lahko ukrade geslo, če imate dostop do računa računalnika.
- Kako krasti gesla, shranjene v Google Chromu v 5 preprostih korakih: Uči, kako dejansko opraviti dejanja , omenjene v prejšnjih dveh, ko imate dostop do nečega drugega računa.
Obstaja veliko več( vključno s to temo na tej strani ), večinoma po isti vrstici, točkah, nasprotnih točkah in ogromnih razpravah. Ne omenjam jih tukaj, preprosto opravite iskanje, če jih želite najti.
Ali lahko zaposleni v Googlu pri vrnitvi v mojo izvirno poizvedbo vidim geslo? Ker lahko s preprostim gumbom ogledam geslo, jih lahko nesmotrno( dešifrirano), četudi je šifrirano. To se zelo razlikuje od gesel, shranjenih v Unix podobnih operacijskih sistemih, kjer shranjeno geslo nikoli ne moremo videti v navadnem besedilu.
Uporabljajo enosmerni šifrirni algoritem za šifriranje gesel. To šifrirano geslo se nato shrani v datoteko passwd ali shadow. Ko se poskusite prijaviti, je geslo, ki ga vnesete, spet šifrirano in ga primerjate z vnosom v datoteki, ki shrani vaša gesla.Če se ujemajo, mora biti isto geslo in vam je dovoljen dostop. Tako lahko nadrejenec spremeni moje geslo, lahko blokira svoj račun, vendar nikoli ne more videti mojega gesla.
Torej so njegovi pomisleki utemeljeni ali pa bo malo vpogled odvrnil njegovo skrb?
Odgovorni
SuperUser sodelavec Zeel pomaga pri premišljenju:
Kratek odgovor: Ne * Gesla
, shranjene na vašem lokalnem računalniku, lahko Chrome šifrira, dokler je vaš uporabniški račun v računalniku prijavljen.v navadnem besedilu. Sprva se to zdi grozno, ampak kako si mislil, da je auto-fill delal? Ko se to geslo zapolni, mora Chrome vnesti pravo geslo v element HTML obrazca - sicer pa stran ne bo delovala pravilno in obrazca ne morete poslati.Če povezava s spletnim mestom ni prek HTTPS, se navadno besedilo pošlje prek interneta. Z drugimi besedami, če krom ne more dobiti gesel za navadno besedilo, potem so popolnoma neuporabni. Hash z eno potjo ni dober, ker jih moramo uporabiti.
Zdaj so gesla v resnici šifrirana, edini način, kako jih vrniti v navadno besedilo je imeti ključ za dešifriranje. Ta ključ je vaše Googlovo geslo ali sekundarni ključ, ki ga lahko nastavite. Ko se prijavite v Chrome in sinhronizirate, bodo Googlovi strežniki prenesli šifrirane gesla , nastavitve, zaznamke, samodejno izpolnjevanje itd. Na vaš lokalni računalnik. Chrome bo dešifriral podatke in jih lahko uporabil.
Na koncu Google vse informacije, ki so shranjene v stanju, v katerem se nahaja, in nimajo ključa za dešifriranje. Geslo vašega računa se preveri z hashom, da se prijavite v Google, in tudi če pustite, da se krom spomni, je ta šifrirana različica skrita v istem svežnju kot druga gesla, ki jih ni mogoče dostopati. Tako bi lahko zaposleni verjetno zgrabil odlagališče šifriranih podatkov, vendar to ne bi naredil nobenega dobrega, ker ga ne bi mogli uporabljati. *
Tako ne, zaposleni pri Googlu ne morejo dostopati do vaših gesel, kerso šifrirani na svojih strežnikih.
* Vendar ne pozabite, da lahko do katerega koli sistema, do katerega lahko dostopa pooblaščeni uporabnik, dostopa nepooblaščeni uporabnik. Nekateri sistemi so lažje razbiti kot drugi, vendar nobeden ni zanesljiv...To se pravi, mislim, da bom Google in milijone, ki jih porabijo za varnostne sisteme, zaupali vsem drugim rešitvam za shranjevanje gesel. In v redu, jaz sem dober nerd, bi bilo lažje premagati gesla od mene kot prekiniti Googlov šifriranje.
** Predpostavljam tudi, da ni nobene osebe, ki bi samo delala za Googlov dostop do vašega lokalnega računalnika. V tem primeru ste vrezani, vendar zaposlitev v Googlu dejansko ni več dejavnik. Moral: Hit Win + L, preden zapustite stroj.
Medtem ko se strinjamo z zeelom, da je to zelo varna stava( dokler vaš računalnik ni ogrožen), da so vaša gesla v resnici varni, medtem ko so shranjeni v Chromu, raje šifriramo vse naše prijave in gesla v lastnem trezorju LastPass.
Ali želite dodati nekaj pojasnila? Zvok v komentarjih.Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.