Att lagra dina lösenord i din webbläsare verkar vara en bra tidsbesparing, men är lösenorden säkra och otillgängliga för andra (till och med anställda i webbläsarföretaget) när de går iväg?
Dagens fråga & svar-session kommer till oss med tillstånd av SuperUser - en underavdelning av Stack Exchange, en samhällsstyrd gruppering av frågor och svar på webbplatser.
Frågan
SuperUser-läsaren MMA är nyfiken på om Google-anställda har (eller kan ha) åtkomst till de lösenord han lagrar i Google Chrome:
Jag förstår att vi verkligen frestas att spara våra lösenord i Google Chrome. Den troliga fördelen är två gånger,
- Du behöver inte (memorera och) mata in de långa och kryptiska lösenorden.
- Dessa är tillgängliga var du än är när du loggar in på ditt Google-konto.
Den sista punkten väckte mitt tvivel. Eftersom lösenordet är tillgängligt var som helst, lagringsutrymmet måste vara på någon central plats, och detta bör vara på Google.
Nu är min enkla fråga, kan en anställd från Google se mina lösenord?
Sökning på Internet avslöjade flera artiklar / meddelanden.
- Sparar du lösenord i Chrome? Du kanske borde överväga: Samtal om att dina lösenord blir stulna av någon som har tillgång till ditt datorkonto. Ingenting nämnts om säkerhet och sårbarhet i central lagring. Det finns till och med ett svar från Chrome webbläsars säkerhetstekniska lead om det första problemet.
- Chrome: s vansinniga lösenordssäkerhetsstrategi: Mest på samma linje. Du kan stjäla lösenord från någon om du har tillgång till datorkontot.
- Hur man stjäl lösenord som sparats i Google Chrome i 5 enkla steg: Lär dig hur du faktiskt utför spela teater som nämns i de två föregående när du har tillgång till någon annans konto.
Det finns många fler (inklusive den här kl denna sajt), mestadels på samma linje, poäng, motpunkterna, enorma debatter. Jag avstår från att nämna dem här, bara genomföra en sökning om du vill hitta dem.
Kommer tillbaka till min ursprungliga fråga, kan en Googleanställd se mitt lösenord? Eftersom jag kan se lösenordet med en enkel knapp, kan de definitivt tas bort (dekrypteras) även om de är krypterade. Detta skiljer sig mycket från de lösenord som sparats i Unix-liknande operativsystem där det sparade lösenordet aldrig kan ses i vanlig text.
De använder en envägs krypteringsalgoritm tillkryptera dina lösenord. Detta krypterade lösenord lagras sedan i passwd- eller skuggfilen. När du försöker logga in krypteras lösenordet du skriver in igen och jämförs med posten i filen som lagrar dina lösenord. Om de matchar måste det vara samma lösenord och du får åtkomst. Således kan en superanvändare ändra mitt lösenord, kan blockera mitt konto, men han kan aldrig se mitt lösenord.
Så är hans bekymmer välgrundade eller kommer en liten insikt att skingra hans oro?
Svaret
SuperUser-bidragsgivaren Zeel hjälper till med att lägga tankarna på det:
Kort svar: Nej *
Lösenord lagrade på din lokala maskin kan varadekrypteras av Chrome, så länge ditt OS-användarkonto är inloggat. Och sedan kan du se dem i vanlig text. Först verkar det hemskt, men hur tyckte du att automatisk fyllning fungerade? När det lösenordsfältet fylls i måste Chrome infoga det verkliga lösenordet i HTML-formelementet - annars fungerar inte sidan korrekt och du kunde inte skicka formuläret. Och om anslutningen till webbplatsen inte sker via HTTPS, skickas sedan ren text över internet. Med andra ord, om chrome inte kan få lösenord för vanlig text, är de helt värdelösa. En envägs hash är inte bra, eftersom vi måste använda dem.
Nu är lösenorden faktiskt krypterade, de endasätt att få dem tillbaka till vanlig text är att ha dekrypteringsnyckeln. Den nyckeln är ditt Google-lösenord eller en sekundär nyckel som du kan ställa in. När du loggar in på Chrome och synkroniserar kommer Google-servrar att överföra krypterad lösenord, inställningar, bokmärken, automatisk fyllning, etc. till din lokala maskin. Här kommer Chrome att dekryptera informationen och kunna använda den.
I Googles slut lagras all den informationen i desskrypterat tillstånd, och de har inte nyckeln till att dekryptera det. Ditt kontolösenord kontrolleras mot en hash för att logga in på Google, och även om du låter chrome komma ihåg det, är den krypterade versionen dold i samma bunt som de andra lösenorden, omöjligt att komma åt. Så en anställd kan förmodligen ta en dumpning av den krypterade informationen, men det skulle inte göra dem något nyttigt, eftersom de inte skulle ha något sätt att använda den. *
Så nej, Google-anställda kan inte ** komma åt dina lösenord, eftersom de är krypterade på sina servrar.
* Glöm dock inte att något system som kanåtkomst av en auktoriserad användare kan nås av en obehörig användare. Vissa system är lättare att bryta än andra, men inga är felsäkra. . . Med det sagt, tror jag att jag kommer att lita på Google och de miljoner de spenderar på säkerhetssystem över alla andra lösningar för lagring av lösenord. Och jävla, jag är en wimpy nörd, det skulle vara lättare att slå lösenorden ur mig än att bryta Googles kryptering.
** Jag antar också att det inte finns någon som gör detjobbar bara för att Google får åtkomst till din lokala maskin. I så fall är du skruvad, men anställningen hos Google är inte längre någon faktor. Moral: Hit Vinna + L innan du lämnar maskinen.
Medan vi håller med zeel om att det är ganska säkertsatsa (så länge din dator inte äventyras) att dina lösenord i själva verket är säkra när de lagras i Chrome, föredrar vi att kryptera alla våra inloggningar och lösenord i ett LastPass-valv.
Har något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa fler svar från andra tekniska kunniga Stack Exchange-användare? Kolla in hela diskussionstråden här.
