Съхраняването на паролите във вашия уеб браузър изглежда като чудесен спестяване на време, но паролите са сигурни и недостъпни за останалите (дори и за служителите на браузърната компания), когато се разпръснат?
Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.
Reader MMA на SuperUser е любопитен, ако служителите на Google имат (или биха имали) достъп до паролите, които съхранява в Google Chrome:
Разбираме, че наистина сме изкушени да запазим паролите си в Google Chrome. Вероятната полза е два пъти,
- Не е необходимо да въвеждате (запаметявате и) тези дълги и загадъчни пароли.
- Те са достъпни навсякъде, където сте влезли в профила си в Google.
Последната точка предизвика съмнение. Тъй като паролата е достъпнанавсякъде, съхранението трябва да е на някакво централно място и това трябва да е в Google.
Сега моят прост въпрос е: Може ли служител на Google да види паролите ми?
Търсенето в интернет разкри няколко статии / съобщения.
- Запазвате ли пароли в Chrome? Може би трябва да преразгледате: Разговори за открадване на пароли от някой, който има достъп до вашата компютърна сметка. Нищо не се споменаваше за сигурността и уязвимостта на централното хранилище. Има дори отговор от техническото ръководство на охраната на браузъра Chrome за първия брой.
- Неудобната стратегия за защита на паролите на Chrome: Предимно по същата линия. Можете да откраднете паролата от някого, ако имате достъп до компютърния акаунт.
- Как да откраднем паролите, запазени в Google Chrome в 5 лесни стъпки: Научава как да изпълнявате действителноакт споменати в предишните две, когато имате достъп до сметката на някой друг.
Има много повече (включително тази втози сайт), най-вече по същата линия, точки, контра точки, огромни дебати. Аз се въздържам да ги спомена тук, просто проверете търсене, ако искате да ги намерите.
Връщайки се към първоначалната си заявка, може ли служител на Google да види паролата ми? Тъй като мога да видя паролата с помощта на прост бутон, определено те могат да бъдат разкопани (декриптирани), дори ако са шифровани. Това е много различно от паролите, записани в операционни системи, подобни на Unix, където запазената парола никога не може да се види в обикновен текст.
Те използват еднопосочен алгоритъм за шифроване, за да кодират паролите ви. След това тази кодирана парола се съхранява в файла passwd или shadow. Когато се опитвате да влезете, въведената от вас парола отново се шифрова и се сравнява със записа във файла, в който се съхраняват паролите ви. Ако те съвпадат, трябва да има една и съща парола и имате достъп до нея. По този начин суперпотребителят може да променя паролата ми, да блокира профила ми, но никога не може да види паролата ми.
И така, опасенията му са основателни или малко разбиране ще разсее притеснението му?
Сътрудникът на SuperUser Zeel помага да се улесни умът му:
Кратък отговор: Не *
Паролите, съхранявани на локалната ви машина, могат да бъдат декриптирани от Chrome, докато потребителският ви профил на операционната система е влязъл в системата. След това можете да ги видите в обикновен текст. Отначало това изглежда ужасно, но как мислиш, че работи автоматичното зареждане? Когато полето за парола се попълни, Chrome трябва да вмъкне истинската парола в елемента на формуляра HTML - или пък страницата да не работи правилно и не можете да изпратите формуляра. И ако връзката към уебсайта не е над HTTPS, обикновеният текст ще бъде изпратен по интернет. С други думи, ако хромът не може да получи паролите за обикновен текст, те са напълно безполезни. Единият хеш не е добър, защото трябва да ги използваме.
Сега паролите всъщност са криптирани, единственият начин да ги върнете обратно на обикновен текст е да имате ключ за декриптиране. Този ключ е вашата парола за Google или вторичен ключ, който можете да настроите. Когато влезете в Chrome и синхронизирате, сървърите на Google ще го предадаткриптиран пароли, настройки, отметки, автоматично зареждане и т.н. на вашата локална машина. Тук Chrome ще декриптира информацията и ще може да я използва.
В края на Google цялата тази информация се съхранява в записано състояние и те нямат ключ за декриптиране. Паролата на профила Ви се проверява вместо хеш, за да влезете в Google, и дори ако не позволите на Chrome да си спомни, тази шифрована версия е скрита в същия пакет като другите пароли, които не са достъпни. Така че служител вероятно би могъл да вземе грамаж на криптираните данни, но няма да им помогне, тъй като няма да могат да го използват.
Така че не, служителите на Google не могат да имат достъп до паролите ви, тъй като те са шифровани на сървърите си.
* Не забравяйте обаче, че всяка система, достъпна от оторизиран потребител, може да бъде достъпна от неоторизиран потребител. Някои системи са по-лесни за разбиване от други, но нито една от тях не е надеждна ... В това отношение смятам, че ще се доверя на Google и на милионите, които прекарват в системите за сигурност, над всяко друго решение за съхранение на пароли. И по дяволите, аз съм страховит маниак, би било по-лесно да се измъкнат паролите от мен, отколкото да се разбие криптирането на Google.
** Също така приемам, че няма човек, който да работи, за да може Google да получи достъп до вашата локална машина. В такъв случай сте закачен, но заетостта в Google вече не е фактор. Морално: Hit Win + L преди да напуснете машината.
Докато сме съгласни със Zeel, че е доста сигурен залог (ако компютърът ви не е компрометиран), че паролите ви са в безопасност, докато се съхраняват в Chrome, предпочитаме да шифроваме всичките ни влизания и пароли в сейфа на LastPass.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
