Przechowywanie haseł w przeglądarce internetowej wydaje się być świetnym sposobem na zaoszczędzenie czasu, ale czy hasła są bezpieczne i niedostępne dla innych (nawet pracowników firmy przeglądarkowej), gdy są zgniecione?
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Czytnik SuperUser MMA jest ciekawy, czy pracownicy Google mają (lub mogą mieć) dostęp do haseł, które przechowuje w Google Chrome:
Rozumiem, że naprawdę mamy ochotę zapisać nasze hasła w Google Chrome. Prawdopodobną korzyścią jest dwojakie
- Nie musisz (zapamiętywać i) wprowadzać tych długich i tajemniczych haseł.
- Są one dostępne wszędzie, gdzie jesteś, po zalogowaniu się na swoje konto Google.
Ostatni punkt wywołał moje wątpliwości. Ponieważ hasło jest dostępnegdziekolwiek, pamięć musi znajdować się w centralnej lokalizacji, a to powinno być w Google.
Teraz moje proste pytanie brzmi: czy pracownik Google może zobaczyć moje hasła?
Wyszukiwanie w Internecie ujawniło kilka artykułów / wiadomości.
- Czy zapisujesz hasła w Chrome? Może powinieneś rozważyć: Rozmowy o kradzieży haseł przez kogoś, kto ma dostęp do twojego konta komputera. Nic nie wspomniało o bezpieczeństwie i luce w zabezpieczeniach centralnego magazynu. Odpowiedź na pytanie o pierwszy problem pochodzi nawet od specjalisty ds. Zabezpieczeń przeglądarki Chrome.
- Cholerna strategia zabezpieczania hasłem Chrome: głównie wzdłuż tej samej linii. Możesz ukraść hasło komuś, jeśli masz dostęp do konta komputera.
- Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach: nauczy Cię, jak faktycznie wykonywaćdziałać wymienione w poprzednich dwóch, kiedy masz dostęp do konta kogoś innego.
Jest o wiele więcej (w tym ten wta strona), głównie wzdłuż tej samej linii, punktów, kontrapunktów, wielkich debat. Nie wspominam o nich tutaj, po prostu szukaj, jeśli chcesz je znaleźć.
Wracając do mojego pierwotnego zapytania, pracownik Google może zobaczyć moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, z pewnością można je odhasować (odszyfrować), nawet jeśli są zaszyfrowane. Różni się to znacznie od haseł zapisanych w uniksopodobnych systemach operacyjnych, w których zapisane hasło nigdy nie będzie widoczne w postaci zwykłego tekstu.
Używają one jednokierunkowego algorytmu szyfrowania do szyfrowania haseł. To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Podczas próby logowania hasło, które wpisujesz, jest ponownie szyfrowane i porównywane z wpisem w pliku przechowującym twoje hasła. Jeśli pasują, musi być to samo hasło, a ty masz dostęp. Tak więc superużytkownik może zmienić moje hasło, może zablokować moje konto, ale nigdy nie zobaczy mojego hasła.
Czy jego obawy są uzasadnione, czy też mały wgląd rozwiać jego niepokój?
Pomocnik SuperUser Zeel pomaga uspokoić umysł:
Krótka odpowiedź: nie *
Hasła zapisane na Twoim komputerze lokalnym mogą być odszyfrowane przez Chrome, o ile twoje konto użytkownika OS jest zalogowane. Następnie możesz je wyświetlić w postaci zwykłego tekstu. Na początku wydaje się to okropne, ale w jaki sposób działało automatyczne wypełnianie? Gdy pole hasła zostanie wypełnione, Chrome musi wstawić prawdziwe hasło do elementu formularza HTML - w przeciwnym razie strona nie będzie działać poprawnie i nie można przesłać formularza. A jeśli połączenie z witryną nie jest za pośrednictwem HTTPS, zwykły tekst jest przesyłany przez Internet. Innymi słowy, jeśli chrome nie może uzyskać hasła zwykłego tekstu, są one całkowicie bezużyteczne. Hash jednokierunkowy nie jest dobry, ponieważ musimy z nich korzystać.
Teraz hasła są w rzeczywistości zaszyfrowane, jedynym sposobem na przywrócenie ich do zwykłego tekstu jest posiadanie klucza odszyfrowywania. Ten klucz to Twoje hasło Google lub klucz dodatkowy, który możesz skonfigurować. Po zalogowaniu się w Chrome i zsynchronizowaniu serwery Google przesyłajązaszyfrowane hasła, ustawienia, zakładki, automatyczne uzupełnianie itp. na komputerze lokalnym. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.
Na końcu Google wszystkie te informacje są przechowywane w stanie enkrypcji i nie mają klucza do odszyfrowania. Twoje hasło do konta jest sprawdzane na podstawie hasha, aby zalogować się do Google, a nawet jeśli pozwolisz mu je zapamiętać, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie, co inne hasła, do których nie można uzyskać dostępu. Tak więc pracownik mógłby prawdopodobnie pobrać zrzut zaszyfrowanych danych, ale nie zrobiłoby im to nic dobrego, ponieważ nie mogliby go użyć. *
Nie, pracownicy Google nie mogą ** uzyskać dostępu do haseł, ponieważ są zaszyfrowane na swoich serwerach.
* Nie zapominaj jednak, że dostęp do dowolnego systemu, do którego ma dostęp upoważniony użytkownik, może uzyskać nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żadna nie jest odporna na awarie ... Powiedziawszy to, myślę, że zaufam Google i milionom, które wydadzą na systemy bezpieczeństwa, na wszelkie inne rozwiązania do przechowywania haseł. I do diabła, jestem zwinnym frajerem, łatwiej byłoby pokonać hasła niż złamać szyfr Google'a.
** Zakładam też, że nie ma osoby, która akurat pracuje dla Google, uzyskując dostęp do twojego lokalnego komputera. W takim przypadku jesteś spieprzony, ale zatrudnienie w Google nie jest już tak naprawdę czynnikiem. Moralne: Hit Win + L przed opuszczeniem maszyny.
Chociaż zgadzamy się ze Zeelem, że jest to całkiem bezpieczny zakład (o ile komputer nie jest naruszony), że twoje hasła są w rzeczywistości bezpieczne podczas przechowywania w Chrome, wolimy szyfrować wszystkie nasze loginy i hasła w przechowalni LastPass.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.