Ali lahko zaposleni v Google vidijo moja shranjena geslo za Google Chrome?
Shranjevanje gesel v spletnem brskalniku se zdi izjemno varčevalno, vendar so gesla varna in nedostopna drugim (tudi zaposlenim v brskalniku), ko se odjavijo?
Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki temelji na skupnostih spletnih mest za vprašanja in odgovore.
Vprašanje
Bralnik SuperUser MMA je radoveden, če imajo zaposleni v Googlu (ali bi lahko imeli) dostop do gesel, ki jih hrani v Google Chromu:
Razumem, da smo v skušnjavi, da shranimo gesla v Google Chrome. Verjetna korist je dvakratna,
- Ni vam treba (zapomniti in vnašati) teh dolgih in grobnih gesel.
- Te so na voljo povsod, ko se prijavite v Google Račun.
Zadnja točka je sprožila moj dvom. Ker je geslo na voljo kjerkoli, prostor za shranjevanje mora biti na neki osrednji lokaciji in to mora biti v Googlu.
Moje preprosto vprašanje je, ali lahko Google zaposleni vidi moja gesla?
Iskanje po internetu je razkrilo več člankov / sporočil.
- Ali shranjujete gesla v Chromu? Morda bi morali razmisliti: govori o ukradenih geslih, ki jih je nekdo, ki ima dostop do vašega računa, ukradel. Nič ni omenjeno o varnosti in ranljivosti osrednjega pomnilnika. Obstaja tudi odgovor na varnostno tehnologijo brskalnika Chrome o prvi izdaji.
- Chromeova varnostna strategija za neveljavna gesla: Večinoma ob isti vrsti Geslo lahko nekdo ukrade, če imate dostop do računa računalnika.
- Kako ukrasti gesla, shranjena v brskalniku Google Chrome v 5 preprostih korakih: vas nauči, kako dejansko opraviti akt omenjeni v prejšnjih dveh, ko imate dostop do računa nekoga drugega.
Obstaja veliko več (vključno s to na strani), večinoma po isti liniji, točkah, nasprotnih točkah, velikih razpravah. Tukaj jih ne omenjam, preprosto poiščite, če jih želite najti.
Če se vrnete na izvirno poizvedbo, lahko Google zaposleni vidi moje geslo? Ker lahko geslo uporabim s preprostim gumbom, ga lahko definitivno razpakiramo (šifriramo), tudi če ga šifriramo. To se zelo razlikuje od gesel, shranjenih v operacijskih sistemih, podobnih Unixu, kjer shranjenega gesla ni mogoče videti v navadnem besedilu.
Za šifriranje gesel uporabljajo enosmerni algoritem za šifriranje. To šifrirano geslo se nato shrani v datoteko passwd ali shadow. Ko se poskusite prijaviti, se geslo, ki ga vnesete, ponovno šifrira in primerja z vnosom v datoteki, ki shranjuje vaša gesla. Če se ujemata, mora biti isto geslo in dovoljen vam je dostop. Tako lahko superuporabnik spremeni moje geslo, lahko blokira moj račun, vendar nikoli ne vidi mojega gesla.
Torej so njegovi pomisleki utemeljeni ali pa bo malo vpogleda razblinilo njegovo skrb?
Odgovor
Prispevek uporabnika SuperUser Zeel pomaga umiriti svoj um:
Kratek odgovor: Ne *
Gesla, shranjena na lokalnem računalniku, lahko dešifrira Chrome, če je vaš uporabniški račun OS prijavljen. Nato si jih lahko ogledate v navadnem besedilu. Sprva se zdi grozno, toda kako ste mislili, da je samodejno polnjenje delovalo? Ko se to polje vnese, Chrome vstavi pravo geslo v element obrazca HTML - ali pa stran ne bi delovala pravilno, obrazca pa niste mogli poslati. Če povezava s spletnim mestom ni prek HTTPS, se golo besedilo nato pošlje prek interneta. Z drugimi besedami, če krom ne more dobiti gesel z navadnim besedilom, je popolnoma neuporaben. Enotna razpršitev ni dobra, ker jih moramo uporabiti.
Zdaj so gesla dejansko šifrirana, edini način, da jih dobite nazaj v golo besedilo, je, da imate ključ za dešifriranje. Ta ključ je geslo za Google ali sekundarni ključ, ki ga lahko nastavite. Ko se prijavite v Chrome in sinhronizirate, bodo Googlovi strežniki posredovali šifrirano gesla, nastavitve, zaznamki, samodejno izpolnjevanje itd. na lokalnem računalniku. Chrome bo dešifriral podatke in jih lahko uporabil.
Na Googlovem koncu so vse te informacije shranjene v njenem stisnjenem stanju in nimajo ključa za njegovo dešifriranje. Vaše geslo za račun se preveri z razpršitvijo, da se prijavite v Google, in tudi če kromu dovolite, da se ga spomni, je šifrirana različica skrita v istem svežnju kot druga gesla, do katerih ni mogoče dostopati. Zaposleni bi lahko verjetno zagrabil deponijo šifriranih podatkov, vendar jih ne bi naredil nič dobrega, saj ga ne bi mogli uporabljati. *
Zato ne, zaposleni v Googlu ne morejo dostopati do vaših gesel, ker so šifrirani na njihovih strežnikih.
* Vendar ne pozabite, da lahko vsak sistem, do katerega lahko dostopa pooblaščeni uporabnik, dostopa do nepooblaščenega uporabnika. Nekateri sistemi so lažje razbiti kot drugi, toda nobeden ni neuspešen… To je povedano, mislim, da bom zaupal Googlu in milijonom, ki jih porabijo za varnostne sisteme, nad vsemi drugimi rešitvami za shranjevanje gesel. In za vraga, jaz sem krhak nerd, lažje bi me pretepel iz gesel, kot pa zlomil Googleovo šifriranje..
** Predvidevam tudi, da ne obstaja oseba, ki se zgodi, da dela za Google in pridobi dostop do vašega lokalnega računalnika. V tem primeru ste zajebali, vendar zaposlitev v Googlu ni več dejavnik. Moral: Preden zapustite stroj, zadeti Win + L.
Čeprav se strinjamo z željo, da je to precej varna stava (če računalnik ni ogrožen), da so vaša gesla dejansko varna, medtem ko so shranjena v Chromu, raje šifriramo vse prijave in gesla v trezorju LastPass..
Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.