Stocarea parolelor în browser-ul dvs. pare a fi o economie de timp mare, dar parolele sunt sigure și inaccesibile pentru alții (chiar și pentru angajații companiei de browser) atunci când sunt spulberați?
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare bazată pe comunitate a site-urilor Q & A.
Cititorul de aplicații MMA este curios dacă angajații Google au (sau ar putea avea) acces la parolele pe care le stochează în Google Chrome:
Înțeleg că suntem cu adevărat tentați să ne salvăm parolele în Google Chrome. Beneficiul probabil este de două ori,
- Nu aveți nevoie să memorați și să introduceți acele parole lungi și criptice.
- Acestea sunt disponibile oriunde v-ați conectat la contul dvs. Google.
Ultimul punct mi-a stârnit îndoiala. Deoarece parola este disponibilăoriunde, spațiul de stocare trebuie să fie localizat într-o locație centrală și aceasta ar trebui să fie la Google.
Acum, întrebarea mea este simplă, poate un angajat Google să-mi vadă parolele?
Căutarea pe Internet a dezvăluit mai multe articole / mesaje.
- Salvezi parole în Chrome? Poate ar trebui să vă reamintiți: Discuțiile despre parolele dvs. fiind furate de cineva care are acces la contul dvs. de computer. Nu sa menționat nimic despre securitatea și vulnerabilitatea centralizată a stocării. Există chiar și un răspuns din partea conducătorului tehnic pentru securitatea browserului Chrome despre prima problemă.
- Strategia de securitate a parolei nebune a Parolei Chrome: în mare parte de-a lungul aceleiași linii. Puteți să furați parola de la cineva dacă aveți acces la contul computerului.
- Cum să fure parolele salvate în Google Chrome în 5 pași simpli: Vă învață cum să efectuați efectivact menționate în cele două anterioare atunci când aveți acces la contul altcuiva.
Există multe altele (inclusiv cele de laacest site), mai ales de-a lungul aceleiași linii, puncte, contra-puncte, dezbateri imense. Refuz să le menționez aici, purtați pur și simplu o căutare dacă doriți să le găsiți.
Revenind la interogarea mea inițială, poate un angajat Google să-mi vadă parola? Deoarece pot vedea parola folosind un buton simplu, cu siguranță pot fi dezarhivate (decriptați) chiar dacă sunt criptate. Acest lucru este foarte diferit de parolele salvate în sistemul de operare de tip Unix, unde parola salvată nu poate fi văzută niciodată în text simplu.
Ei folosesc un algoritm de criptare unidirecțional pentru a vă cripta parolele. Această parolă criptată este apoi stocată în fișierul passwd sau umbra. Când încercați să vă conectați, parola introdusă este criptată din nou și comparată cu intrarea din fișierul care stochează parolele. Dacă se potrivesc, trebuie să fie aceeași parolă și vi se permite accesul. Astfel, un superuser îmi poate schimba parola, îmi poate bloca contul, dar nu-mi poate vedea parola.
Deci, preocupările sale sunt bine întemeiate sau o mică perspectivă va risipi îngrijorarea lui?
Utilizatorul SuperUser Zeel ajută să-și pună mintea la ușurință:
Răspuns scurt: Nu *
Parolele stocate pe mașina dvs. locală pot fi decriptate de Chrome, atâta timp cât contul dvs. de utilizator OS este conectat. Și apoi le puteți vedea în text simplu. La început acest lucru pare oribil, dar cum credeați că a funcționat funcția de auto-umplere? Când câmpul de parolă este completat, Chrome trebuie să introducă parola reală în elementul de formă HTML - sau altfel pagina nu ar funcționa corect și nu ați putea trimite formularul. Și dacă conexiunea la site nu este peste HTTPS, textul simplu este apoi trimis prin internet. Cu alte cuvinte, dacă cromul nu poate obține parolele textului simplu, acestea sunt total inutile. Un hash cu o singură cale nu este bun, pentru că trebuie să le folosim.
Acum, parolele sunt criptate, singura modalitate de a le readuce la text simplu este să aveți cheia de decriptare. Acea cheie este parola dvs. Google sau o cheie secundară pe care o puteți configura. Când vă conectați la Chrome și sincronizați, serverele Google vor transmitecriptat parolele, setările, marcajele, auto-umplerea, etc., la mașina dvs. locală. Aici Chrome va decripta informațiile și va putea să le utilizeze.
La sfârșitul Google, toate informațiile sunt stocate în starea lor criptată și nu au cheia pentru ao decripta. Parola contului dvs. este verificată în funcție de hash pentru a vă conecta la Google și chiar dacă lăsați-l să rețină cromul, acea versiune criptată este ascunsă în același pachet ca celelalte parole, imposibil de accesat. Deci, un angajat ar putea lua probabil o cantitate de date criptate, dar nu le-ar face nici un bine, deoarece nu ar avea cum să o folosească.
Deci nu, angajații Google nu pot ** să vă acceseze parolele, deoarece sunt criptate pe serverele lor.
* Cu toate acestea, nu uitați că orice sistem care poate fi accesat de un utilizator autorizat poate fi accesat de un utilizator neautorizat. Unele sisteme sunt mai ușor de întrerupt decât altele, dar nici una nu este sigură de ... Cu toate acestea, cred că am încredere în Google și în milioane de clienți pe care le cheltuiesc pe sistemele de securitate, față de orice altă soluție de stocare a parolelor. Și, băieți, sunt un băiețel, ar fi mai ușor să învinge parolele decât să rup criptarea Google.
** De asemenea, presupun că nu există o persoană care să lucreze pentru ca Google să aibă acces la mașina dvs. locală. În acest caz, sunteți înșelat, însă ocuparea forței de muncă la Google nu este de fapt un factor. Moral: Hit Win + L înainte de a părăsi mașina.
În timp ce suntem de acord cu Zeel că este un pariu destul de sigur (atâta timp cât computerul nu este compromis) că parolele dvs. sunt de fapt sigure în timp ce sunt stocate în Chrome, preferăm să cripteze toate datele de conectare și parolele într-un seif LastPass.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.
