Хранение ваших паролей в вашем веб-браузере, кажется, экономит время, но являются ли пароли безопасными и недоступными для других (даже сотрудников компании-браузера), когда они спрятаны?
Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser — подразделению Stack Exchange, объединенной группой веб-сайтов вопросов и ответов.
Вопрос
Читателю SuperUser MMA любопытно, имеют ли сотрудники Google (или могут иметь) доступ к паролям, которые он хранит в Google Chrome:
Я понимаю, что мы действительно хотим сохранить наши пароли в Google Chrome. Вероятная выгода в два раза,
- Вам не нужно (запоминать и) вводить эти длинные и загадочные пароли.
- Они доступны везде, где вы находитесь, когда вы входите в свою учетную запись Google.
Последний пункт вызвал мои сомнения. Поскольку пароль доступен везде , хранилище должно находиться в каком-то центральном месте, и это должно быть в Google.
Теперь мой простой вопрос: может ли сотрудник Google увидеть мои пароли?
Поиск в Интернете выявил несколько статей / сообщений.
- Вы сохраняете пароли в Chrome? Возможно, вам следует пересмотреть : Рассказывает, что ваши пароли были украдены кем-то, кто имеет доступ к вашей учетной записи компьютера. Ничего не сказано о безопасности и уязвимости центрального хранилища. По поводу первой проблемы есть даже ответ от ведущего специалиста по безопасности браузера Chrome.
- Безумная стратегия безопасности паролей Chrome : в основном по той же схеме. Вы можете украсть пароль у кого-то, если у вас есть доступ к учетной записи компьютера.
- Как украсть пароли, сохраненные в Google Chrome, за 5 простых шагов : Обучает тому, как на самом деле выполнить действие, упомянутое в предыдущих двух, когда у вас есть доступ к чужой учетной записи.
Есть много других (включая этот на этом сайте ), в основном по той же линии, точки, контрапункты, огромные дебаты. Я воздерживаюсь от упоминания их здесь, просто проведите поиск, если хотите их найти.
Возвращаясь к моему первоначальному запросу, может ли сотрудник Google увидеть мой пароль? Так как я могу просмотреть пароль с помощью простой кнопки, определенно их можно будет восстановить (расшифровать), даже если они зашифрованы. Это очень отличается от паролей, сохраненных в Unix-подобных ОС, где сохраненный пароль никогда не будет отображаться в виде простого текста.
Они используют односторонний алгоритм шифрования для шифрования ваших паролей. Этот зашифрованный пароль затем сохраняется в файле passwd или shadow. Когда вы пытаетесь войти, пароль, который вы вводите, снова шифруется и сравнивается с записью в файле, где хранятся ваши пароли. Если они совпадают, это должен быть тот же пароль, и вам разрешен доступ. Таким образом, суперпользователь может изменить мой пароль, может заблокировать мою учетную запись, но он никогда не увидит мой пароль.
Так что его опасения обоснованы, или немного понимания рассеет его беспокойство?
Ответ
Участник SuperUser Zeel помогает успокоиться:
Краткий ответ: нет *
Пароли, хранящиеся на вашем локальном компьютере, могут быть расшифрованы Chrome, если ваша учетная запись пользователя ОС зарегистрирована. Затем вы можете просматривать их в виде простого текста. Сначала это кажется ужасным, но как вы думаете, как работает автозаполнение? Когда это поле пароля заполнено, Chrome должен вставить настоящий пароль в элемент формы HTML — иначе страница не будет работать правильно, и вы не сможете отправить форму. И если соединение с веб-сайтом не осуществляется через HTTPS, простой текст затем отправляется через Интернет. Другими словами, если chrome не может получить пароли в виде простого текста, то они абсолютно бесполезны. Односторонний хэш не годится, потому что мы должны его использовать.
Теперь пароли фактически зашифрованы, и единственный способ вернуть их в обычный текст — это получить ключ дешифрования. Этот ключ — ваш пароль Google или дополнительный ключ, который вы можете установить. Когда вы входите в Chrome и синхронизируете серверы Google передают зашифрованные пароли, настройки, закладки, автоматическое заполнение и т. Д. На локальный компьютер. Здесь Chrome расшифрует информацию и сможет ее использовать.
На конец Google вся эта информация хранится в зашифрованном состоянии, и у них нет ключа для ее расшифровки. Пароль вашей учетной записи сверяется с хешем для входа в Google, и даже если вы разрешите chrome запомнить его, эта зашифрованная версия скрыта в том же пакете, что и другие пароли, доступ к которым невозможен. Таким образом, сотрудник может, вероятно, получить дамп зашифрованных данных, но это не принесет им никакой пользы, поскольку у них не будет никакого способа его использовать. *
Поэтому нет, сотрудники Google не могут ** получить доступ к вашим паролям, поскольку они зашифрованы на их серверах.
* Тем не менее, не забывайте, что любая система, к которой может получить доступ авторизованный пользователь, может быть доступна неавторизованному пользователю. Некоторые системы легче сломать, чем другие, но ни одна из них не защищена от сбоев. , , При этом, я думаю, я буду доверять Google и миллионам, которые они тратят на системы безопасности, по сравнению с любым другим решением для хранения паролей. И, черт возьми, я тупой ботаник, было бы легче выбить из меня пароли, чем сломать шифрование Google.
** Я также предполагаю, что нет человека, который просто работает на Google, чтобы получить доступ к вашей локальной машине. В этом случае вы облажались, но работа в Google на самом деле уже не является фактором. Мораль: Хит Win + L, прежде чем покинуть машину.
Хотя мы согласны с Zeel в том, что довольно безопасно (если ваш компьютер не взломан), что ваши пароли на самом деле безопасны при хранении в Chrome, мы предпочитаем шифровать все наши логины и пароли в хранилище LastPass .
Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других опытных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .