4Aug
Att lagra dina lösenord i din webbläsare verkar vara en bra tidsbesparare, men är lösenorden säkra och otillgängliga för andra( även anställda i webbläsarföretaget) när de äcklas bort?
Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsare MMA är nyfiken om Google-anställda har( eller skulle kunna) få tillgång till de lösenord som han lagrar i Google Chrome:
Jag förstår att vi verkligen är frestade att spara våra lösenord i Google Chrome. Den troliga fördelen är tvåfaldigt,
- Du behöver inte( memorera och) skriva in de långa och kryptiska lösenorden.
- Dessa är tillgängliga var du än är när du loggar in på ditt Google-konto.
Den sista punkten ledde till min tvivel. Eftersom lösenordet är tillgängligt var som helst , måste lagringen vara på en central plats, och det borde vara på Google.
Nu är min enkla fråga, kan en Google-anställd se mina lösenord?
Sökande via Internet avslöjade flera artiklar / meddelanden.
- Spara du lösenord i Chrome? Kanske bör du ompröva: Tal om dina lösenord stulits av någon som har tillgång till ditt datorkonto. Ingenting nämns om central lagringssäkerhet och sårbarhet. Det finns även ett svar från Chrome Browser Security Tech lead om det första problemet.
- Kromens galen lösenords säkerhetsstrategi: Huvudsakligen längs samma rad. Du kan stjäla lösenord från någon om du har tillgång till datorns konto.
- Så här stjäl du lösenord som sparats i Google Chrome i 5 enkla steg: Lär dig hur du faktiskt utför -akten som nämns i de föregående två när du har tillgång till någon annans konto.
Det finns många fler( inklusive den här på den här sajten ), mestadels längs samma rad, poäng, motpoäng, stora debatter. Jag avstår från att nämna dem här, bara ha en sökning om du vill hitta dem.
Kommer tillbaka till min ursprungliga fråga, kan en Google-anställd se mitt lösenord? Eftersom jag kan visa lösenordet med en enkel knapp, kan de definitivt vara omhändertagna( dekrypterade) även om de krypteras. Detta skiljer sig mycket från lösenorden som sparas i Unix-liknande operativsystem där det sparade lösenordet aldrig kan ses i vanlig text.
De använder en enkelriktad krypteringsalgoritm för att kryptera dina lösenord. Detta krypterade lösenord lagras sedan i passwd eller skuggfilen. När du försöker logga in, krypteras lösenordet du skriver in igen och jämförs med posten i filen som lagrar dina lösenord. Om de matchar måste det vara samma lösenord, och du får tillgång till. Således kan en superanvändare ändra mitt lösenord, kan blockera mitt konto, men han kan aldrig se mitt lösenord.
Så är hans bekymmer välgrundade eller kommer en liten insikt att skingra sin oro?
Svaret
SuperUser-bidragsgivare Zeel hjälper till med att tänka sig:
Kort svar: Nej *
Lösenorden som lagras på din lokala maskin kan dekrypteras av Chrome så länge som ditt användarkonto är inloggat. Och så kan du se demi vanlig text. Först verkar det hemskt, men hur tyckte du att autofyllning fungerade? När det lösenordsfältet fylls i måste Chrome infoga det verkliga lösenordet i HTML-formuläret - annars skulle sidan inte fungera rätt, och du kunde inte skicka in formuläret. Och om anslutningen till webbplatsen inte är över HTTPS skickas den vanliga texten över Internet. Med andra ord, om krom inte kan få de vanliga textlösenorden, så är de helt värdelösa. En envägs hash är inte bra, för vi behöver använda dem.
Nu är lösenordet faktiskt krypterade, det enda sättet att få dem tillbaka till vanlig text är att få dekrypteringsnyckeln. Den här nyckeln är ditt Google-lösenord eller en sekundär nyckel du kan ställa in. När du loggar in på Chrome och synkroniserar kommer Googles servrar att överföra -krypterade -lösenord, inställningar, bokmärken, automatisk fyllning etc till din lokala dator. Här dekrypterar Chrome informationen och kan använda den.
I Googles slut lagras all den informationen i sitt inkrypterade tillstånd, och de har inte nyckeln till att dekryptera den. Ditt konto lösenord är markerat mot en hash för att logga in på Google, och även om du låter chrome komma ihåg det, är den krypterade versionen dold i samma bunt som de andra lösenorden, omöjliga att komma åt. Så en anställd kan förmodligen få tag i en dumpning av krypterade data, men det skulle inte göra dem bra, eftersom de inte skulle kunna använda det. *
Så nej, Google-anställda kan inte ** få åtkomst till dina lösenord, eftersom dekrypteras på sina servrar.
* Men glöm inte att något system som kan nås av en auktoriserad användare kan nås av en obehörig användare. Vissa system är lättare att bryta än andra, men ingen är felfria...Med det sagt tror jag att jag kommer att lita på Google och de miljoner de spenderar på säkerhetssystem, över alla andra lösningar för lagringslösning. Och heck, jag är en wimpy nerd, det vore lättare att slå lösenorden ut ur mig än att bryta Googles kryptering.
** Jag antar också att det inte finns någon som bara händer för att Google ska få tillgång till din lokala dator. I så fall är du knuten, men anställning hos Google är faktiskt inte en faktor längre. Moral: Hit Win + L innan du lämnar maskinen.
Även om vi är överens med zeel att det är en ganska säker satsning( så länge datorn inte äventyras) att dina lösenord faktiskt är säkra medan de lagras i Chrome, föredrar vi att kryptera alla våra inloggningar och lösenord i ett LastPass valv.
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.