Mogu li zaposlenici Googlea vidjeti spremljene Google Chrome lozinke?

Pohrana vaših zaporki u web-pregledniku izgleda kao velika ušteda vremena, ali jesu li zaporke sigurne i nedostupne drugima (čak i zaposlenicima tvrtke u pregledniku) kada se odvajaju?

Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupiranja web-lokacija za pitanja i odgovore u zajednici.

Pitanje

Čitač SuperUser MMA je znatiželjan ako Googleovi zaposlenici imaju (ili bi mogli imati) pristup lozinkama koje pohranjuju u pregledniku Google Chrome:

Razumijem da smo stvarno u iskušenju da spremimo svoje zaporke u Google Chrome. Vjerojatna korist je dvostruka,

• Ne morate (zapamtiti i) unositi te duge i kriptične zaporke.
• Dostupne su gdje god se nalazili kada se prijavite na svoj Google račun.

Posljednja točka izazvala je moju sumnju. Budući da je zaporka dostupna bilo kuda, pohrana mora biti na nekom središnjem mjestu, a to bi trebalo biti na Googleu.

Moje jednostavno pitanje je da li Googleov zaposlenik može vidjeti moje lozinke?

Pretraživanje putem interneta otkrilo je nekoliko članaka / poruka.

• Spremate li zaporke u Chromeu? Možda biste trebali razmisliti: razgovori o uklanjanju vaših lozinki od strane nekoga tko ima pristup računu vašeg računala. Ništa se ne spominje o sigurnosti i ranjivosti središnje pohrane. Postoji čak i odgovor iz sigurnosnih tehnologija preglednika Chrome o prvom pitanju.
• Chromeova luda strategija sigurnosti lozinki: Uglavnom uz istu liniju. Lozinku možete ukrasti od nekoga ako imate pristup računu računala.
• Kako ukrasti lozinke spremljene u Google Chromeu u 5 jednostavnih koraka: Uči vas kako se zapravo izvodi čin spomenuta u prethodna dva kada imate pristup tuđem računu.

Ima ih mnogo više (uključujući i ovu na ova stranica), uglavnom uz istu liniju, točke, protu-točke, velike rasprave. Ja ih se ovdje ne spominjem, samo obavite pretragu ako ih želite pronaći.

Da se vratimo na izvorni upit, može li Google zaposlenik vidjeti moju zaporku? Budući da mogu vidjeti lozinku pomoću jednostavnog gumba, definitivno se mogu ukloniti (dešifrirati) čak i ako su šifrirani. To se jako razlikuje od lozinki spremljenih u OS-u sličnom Unixu, gdje spremljena lozinka nikada ne može biti vidljiva u običnom tekstu.

Oni koriste enosmjerni algoritam šifriranja za šifriranje vaših zaporki. Ova se šifrirana lozinka zatim pohranjuje u datoteku passwd ili shadow. Kada se pokušate prijaviti, lozinka koju upišete ponovno je šifrirana i uspoređena s unosom u datoteci koja pohranjuje vaše lozinke. Ako se podudaraju, mora biti ista zaporka i dopušten vam je pristup. Dakle, superkorisnik može promijeniti moju lozinku, blokirati moj račun, ali nikad ne može vidjeti moju lozinku.

Tako su njegove brige utemeljene ili će malo uvida odbaciti njegovu zabrinutost?

Odgovor

Doprinositelj SuperUser-a Zeel pomaže da se opusti:

Kratak odgovor: Ne *

Zaporke pohranjene na lokalnom računalu mogu dešifrirati u Chromeu, sve dok je vaš korisnički račun za OS prijavljen. Zatim možete pregledati one u običnom tekstu. Isprva ovo izgleda strašno, ali kako ste mislili da je automatsko popunjavanje radilo? Kada popunite ovo polje zaporke, Chrome mora unijeti pravu lozinku u element HTML obrasca - inače stranica ne bi ispravno funkcionirala i niste mogli poslati obrazac. Ako veza s web-lokacijom nije preko HTTPS-a, obični tekst se šalje putem interneta. Drugim riječima, ako krom ne može dobiti obične tekstualne lozinke, one su potpuno beskorisne. Jednosmjerno hash nije dobro, jer ih moramo koristiti.

Sada su lozinke zapravo šifrirane, jedini način da ih vratite na običan tekst je ključ za dešifriranje. Taj je ključ vaša zaporka za Google ili sekundarni ključ koji možete postaviti. Kada se prijavite na Chrome i sinkronizirate Googleove poslužitelje, poslat će kodiran lozinke, postavke, oznake, automatsko popunjavanje, itd., na vaš lokalni stroj. Chrome će dešifrirati podatke i moći ih koristiti.

Na Googleovom kraju sve te informacije pohranjuju se u njihovom stanju, a nemaju ključ za dešifriranje. Lozinka računa provjerava se s hashom da biste se prijavili na Google, a čak i ako dopustite Chromeu da je zapamti, šifrirana verzija je skrivena u istom paketu kao i druge zaporke, kojima je nemoguće pristupiti. Dakle, zaposlenik bi vjerojatno mogao zgrabiti deponiju šifriranih podataka, ali ne bi ih dobro iskoristio, jer ne bi imali načina da ga koriste. *

Dakle, ne, Googleovi zaposlenici ne mogu ** pristupiti vašim lozinkama, jer su šifrirani na njihovim poslužiteljima.

* Međutim, ne zaboravite da neovlašteni korisnik može pristupiti svakom sustavu koji može imati pristup ovlaštenom korisniku. Neki sustavi se lakše razbijaju od drugih, ali nitko ih ne može dokazati ... To se, doduše, vjeruje Googleu i milijunima koje troše na sigurnosne sustave, nad bilo kojim drugim rješenjem za pohranu lozinki. I dođavola, ja sam slabašan glupan, bilo bi mi lakše pobijediti lozinke nego slomiti Googleovu enkripciju.

** Također pretpostavljam da ne postoji osoba koja upravo služi za Google kako bi dobila pristup vašem lokalnom računalu. U tom slučaju ste sjebani, ali zapošljavanje u Googleu zapravo više nije faktor. Moral: Pritisnite Win + L prije napuštanja stroja.

Iako se slažemo s činjenicom da je to prilično sigurna oklada (sve dok vaše računalo nije ugroženo), da su vaše zaporke zapravo sigurne dok su pohranjene u Chromeu, mi radije šifriramo sve naše prijave i lozinke u LastPass trezoru.

Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.