Kas Google'i töötajad näevad minu salvestatud Google Chrome'i paroole?
Paroolide salvestamine veebibrauseris tundub olevat suurepärane aja säästja, kuid kas paroolid on turvalised ja ligipääsetavad teistele (isegi brauseri ettevõtte töötajatele), kui nad on üksteisest eemal.?
Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotis, kogukondlikult juhitav Q&A veebisaitide rühmitus.
Küsimus
Superkasutaja lugeja MMA on uudishimulik, kui Google'i töötajad saavad (või võivad) juurdepääsu Google Chrome'is talletatud paroolidele:
Ma saan aru, et meil on tõesti kiusatus salvestada oma paroolid Google Chrome'i. Tõenäoline kasu on kaks korda,
- Te ei pea (neid meelde jätma) ja neid pikki ja krüptilisi paroole sisestama.
- Need on saadaval kõikjal, kus olete oma Google'i kontole sisse loginud.
Viimane punkt tekitas minu kahtluse. Kuna parool on saadaval kõikjal, ladustamine peab toimuma mõnes keskses asukohas ja see peaks olema Google'is.
Nüüd on minu lihtne küsimus, kas Google'i töötaja võib minu paroole näha?
Interneti kaudu otsimine näitas mitmeid artikleid / sõnumeid.
- Kas salvestate Chrome'i paroole? Võib-olla peaksite kaaluma: räägib oma paroolide varastamisest keegi, kellel on juurdepääs teie arvuti kontole. Miski ei maininud keskse salvestamise turvalisust ja haavatavust. Chrome'i brauseri turvatehnoloogia esile kerkib ka esimene vastus esimesele küsimusele.
- Chrome'i hullumeelne parooli turvastrateegia: enamasti samal real. Kui teil on juurdepääs arvutikontole, võite kelleltki parooli varastada.
- Kuidas varastada Google Chrome'i salvestatud paroolid 5 lihtsa sammuga: õpetab, kuidas seda tegelikult teha tegutsema eelmises kahes osas mainitud, kui teil on juurdepääs kellegi teise kontole.
Seal on palju rohkem (sh sellel saidil), enamasti samas suunas, punktid, vastupunktid, suured arutelud. Ma ei soovi neid siin mainida, lihtsalt otsida, kui soovite neid leida.
Kas tagasi pöörduda minu esialgse päringu juurde, kas Google'i töötaja võib minu parooli näha? Kuna parooli saab vaadata lihtsa nupuga, saab neid kindlasti krüpteerida (krüpteerida). See erineb Unixi sarnastes operatsioonisüsteemides salvestatud paroolidest, kus salvestatud parooli ei saa kunagi näha lihttekstina.
Nad kasutavad paroolide krüpteerimiseks ühesuunalist krüpteerimisalgoritmi. See krüpteeritud parool salvestatakse seejärel passwd või shadow failis. Kui üritate sisse logida, krüpteeritakse uuesti sisestatud parool ja võrreldakse paroole salvestavasse faili. Kui need sobivad, peab see olema sama parool ja teil on juurdepääs. Seega võib ülikasutaja mu parooli muuta, blokeerida oma konto, kuid ta ei saa minu parooli kunagi näha.
Niisiis on tema mured hästi põhjendatud või vähene arusaam hajutab tema muret?
Vastus
SuperUser'i toetaja Zeel aitab oma mõtteviisi hõlpsasti kaasa:
Lühike vastus: Ei *
Chrome võib teie kohalikus seadmes salvestatud paroolid dekrüpteerida, kui teie OS-i kasutajakonto on sisse logitud. Seejärel saate neid vaadata lihttekstina. Alguses tundub see kohutav, aga kuidas sa arvasid, et automaatne täitmine toimis? Kui see paroolivälja täidetakse, peab Chrome HTML-vormi elemendisse sisestama tegeliku parooli - või muidu ei tööta leht õigesti ja sa ei saanud vormi esitada. Ja kui ühendus veebisaidiga pole üle HTTPSi, saadetakse lihttekst Internetis. Teisisõnu, kui kroom ei saa lihtteksti paroole, siis on nad täiesti kasutud. Üks võimalus ei ole hea, sest me peame neid kasutama.
Nüüd on paroolid tegelikult krüpteeritud, ainus viis, kuidas neid tagasi tavalisele tekstile tagasi võtta, on dekrüpteerimisvõtme olemasolu. See võti on teie Google'i parool või sekundaarne võti, mille saate seadistada. Kui logite Chrome'i sisse ja sünkroonite, edastavad Google'i serverid krüpteeritud paroolid, seaded, järjehoidjad, automaatne täitmine jne. Siin Chrome krüpteerib informatsiooni ja oskab seda kasutada.
Google'i lõpul salvestatakse kõik see info oma sisestatud olekusse ja neil ei ole võtit selle dekrüptimiseks. Google'i sisselogimiseks kontrollitakse teie konto parooli räsi suhtes ja isegi kui lubate kroomil selle meelde jätta, on krüpteeritud versioon peidetud samasse komplekti kui teised paroolid, mida pole võimalik juurde pääseda. Seega võis töötaja tõenäoliselt krüpteeritud andmete väljavõtmise haarata, kuid see ei tee neile midagi head, sest neil ei oleks mingit võimalust seda kasutada. *
Nii et ei, Google'i töötajad ei saa ** oma paroole juurde pääseda, kuna need on nende serverites krüpteeritud.
* Kuid ärge unustage, et mis tahes süsteemi, millele on juurdepääs volitatud kasutajale, saab kasutada volitamata kasutaja. Mõned süsteemid on lihtsam murda kui teised, kuid ükski neist ei ole tõrkekindel… Seda öeldes, ma arvan, et ma usaldan Google'i ja miljoneid, mida nad julgestussüsteemidele kulutavad, mis tahes muu paroolihoidla lahenduse eest. Ja kuradit, ma olen naljakas nalja, oleks lihtsam paroole minust välja võita kui Google'i krüpteerimine.
** Ma eeldan ka, et ei ole inimest, kes lihtsalt juhtub, et töötada Google'ile ligipääsu saamiseks teie kohalikule masinale. Sellisel juhul olete kruvitud, kuid Google'is töötamine ei ole enam tegur. Moraalne: võta Win + L enne masina lahkumist.
Kuigi me nõustume zeeliga, et see on päris turvaline panus (nii kaua, kui teie arvutit ei ohustata), et teie paroolid on Chrome'is talletamisel tegelikult turvalised, eelistame krüptida kõik meie sisselogimised ja paroolid LastPassi võlvkelderis.
Kas teil on midagi lisada selgitusele? Hääletage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.