Mohou zaměstnanci společnosti Google vidět moje uložená hesla prohlížeče Google Chrome?
Uložení hesel do vašeho webového prohlížeče se zdá být skvělým spořičem času, ale hesla jsou bezpečná a nepřístupná ostatním (dokonce i zaměstnancům prohlížečové společnosti), když se rozplynou?
Dnešní zasedání Otázky a odpovědi nás přichází s laskavým svolením SuperUser - podřízené rozdělení Stack Exchange, které je založeno na komunitě prostřednictvím skupin webových stránek.
Otázka
Čtečka MMA SuperUser je zvědavá, pokud mají zaměstnanci společnosti Google (nebo by mohli mít) přístup k heslům, které ukládá do prohlížeče Google Chrome:
Chápu, že jsme skutečně pokoušeli zachránit hesla v prohlížeči Google Chrome. Pravděpodobný přínos je dvojí,
- Nemusíte (zadávat do paměti a) zadávat ty dlouhé a tajuplné hesla.
- Ty jsou k dispozici všude, kde jste se přihlásili do svého účtu Google.
Poslední věc vyvolala pochybnosti. Protože je heslo k dispozici kdekoli, úložiště musí být na nějakém centrálním místě a mělo by to být na Googlu.
Teď můj jednoduchý dotaz je, může zaměstnanec Google vidět moje hesla?
Vyhledávání na internetu odhalilo několik článků / zpráv.
- Uchováváte hesla v prohlížeči Chrome? Možná byste se měli znovu zamyslet: Jedná se o to, že vaše hesla budou ukradena někým, kdo má přístup k vašemu účtu počítače. Nic se nezmínilo o centrální bezpečnosti a zranitelnosti úložiště. Existuje dokonce i odpověď od vedoucího technického zabezpečení prohlížeče Chrome o prvním problému.
- Chrome je šílená strategie zabezpečení heslem: Většinou po stejné linii. Některé heslo můžete odcizit, pokud máte přístup k účtu počítače.
- Jak ukrást hesla uložená v Google Chrome v 5 jednoduchých krocích: Učí vás, jak skutečně provést akt uvedených v předchozích dvou, když máte přístup k účtu někoho jiného.
Existuje mnoho dalších (včetně tohoto na tato stránka), většinou podél stejné čáry, body, protiklady, obrovské debaty. Nechám je zde zmínit, jednoduše provést vyhledávání, pokud je chcete najít.
Pokud se vrátím k původnímu dotazu, může můj zaměstnanec Google vidět heslo? Jelikož můžu zobrazit heslo pomocí jednoduchého tlačítka, určitě mohou být dešifrovány (dešifrované), i když jsou šifrovány. To je velmi odlišné od hesel uložených v systémech typu Unix, kde uložené heslo nemůže být nikdy vidět v prostém textu.
K šifrování hesel používají jednosměrný šifrovací algoritmus. Toto šifrované heslo je pak uloženo v souboru passwd nebo stínu. Při pokusu o přihlášení se zadané heslo znovu zašifruje a porovná se se záznamem v souboru, který ukládá vaše hesla. Pokud se shodují, musí být stejné heslo a máte přístup. Takže superuživatel může změnit heslo, může mi zablokovat účet, ale nikdy nevidí heslo.
Stejně tak jsou jeho obavy opodstatněné, nebo se trochu prohloubí jeho starosti?
Odpověď
Příspěvek SuperUser Zeel pomáhá uklidnit svou mysl:
Krátká odpověď: Ne *
Hesla uložená na vašem místním počítači mohou být dešifrována prohlížečem Chrome, pokud je přihlášen uživatelský účet OS. A pak je můžete zobrazit v prostém textu. Zpočátku to vypadá strašně, ale jak si myslíte, že funguje automatické doplňování? Po vyplnění tohoto pole hesla musí Chrome vložit do prvku formátu HTML skutečné heslo - jinak by stránka nefungovala správně a formulář nelze odeslat. A pokud připojení k webovému serveru není přes HTTPS, prostý text se pak pošle přes internet. Jinými slovy, pokud Chrome nemůže získat hesla prostého textu, jsou zcela zbytečné. Jednosměrný hash není dobrý, protože je musíme používat.
Nyní jsou hesla ve skutečnosti zašifrována, jediný způsob, jak je získat zpět na prostý text, je mít dešifrovací klíč. Tento klíč je vaše heslo Google nebo sekundární klíč, který můžete nastavit. Když se přihlásíte do prohlížeče Chrome a synchronizujete, budou servery Google přenášet šifrované hesla, nastavení, záložky, automatické doplňování atd. do místního počítače. Zde Chrome dešifruje informace a bude je moci používat.
Na konci Googlu jsou všechny tyto informace ukládány ve svém enkryptovaném stavu a nemají klíč k dešifrování. Heslo vašeho účtu je kontrolováno na základě hash pro přihlášení do Googlu a i když necháte chrome zapamatovat, šifrovaná verze je skrytá ve stejném svazku jako ostatní hesla, které nemají přístup. Takže by zaměstnanec mohl pravděpodobně chytit skládku zašifrovaných dat, ale neudělalo by jim nic dobrého, protože by neměli způsob, jak je použít. *
Takže ne, zaměstnanci Google nemohou ** přistupovat k vašim heslům, protože jsou šifrováni na svých serverech.
* * Nezapomeňte však, že jakýkoli systém, ke kterému může přistupovat oprávněný uživatel, je přístupný neoprávněnému uživateli. Některé systémy se dají lépe oddělit od jiných, ale žádná z nich není odolná proti chybám ... Až se říká, myslím, že budu důvěřovat společnosti Google a milionům, které utrácejí na bezpečnostních systémech, než jakékoliv jiné řešení pro ukládání hesel. A sakra, já jsem bláznivý blázen, bylo by snadnější porazit hesla ze mně než zlomit šifrování Google.
** Domnívám se také, že neexistuje osoba, která by pracovala pro to, aby společnost Google získala přístup k místnímu počítači. V takovém případě jste zničeni, ale zaměstnání na Googlu už není faktorem. Morální: Hit Win + L před opuštěním stroje.
I když souhlasíme se zeel, že je to docela bezpečná sázka (pokud váš počítač není ohrožen), že vaše hesla jsou ve skutečnosti bezpečná, pokud jsou uložena v prohlížeči Chrome, dáváme přednost šifrování všech přihlašovacích údajů a hesel v úložišti LastPass.
Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.