Зберігання ваших паролів у веб-браузері здається чудовою економією часу, але чи безпечні паролі та недоступні для інших (навіть працівників фірми-браузера), коли їх викручують?
Сьогоднішня сесія "Питання та відповіді" приходить до нас з люб'язності SuperUser - підрозділу Stack Exchange, групування веб-сайтів Q&A, керованого громадою.
Питання
SuperUser читач MMA цікавий, якщо працівники Google мають (або могли мати) доступ до паролів, які він зберігає в Google Chrome:
Я розумію, що ми дійсно спокушаємося зберігати свої паролі в Google Chrome. Ймовірна вигода в два рази,
- Вам не потрібно (запам'ятовувати та) вводити ці довгі та виразні паролі.
- Вони доступні в будь-якому місці, коли ви ввійдете у свій обліковий запис Google.
Останній пункт викликав у мене сумніви. Оскільки пароль доступний де завгодно, сховище має бути в якомусь центральному місці, і це має бути в Google.
Тепер моє просте запитання полягає в тому, чи може співробітник Google бачити мої паролі?
Пошук через Інтернет виявив кілька статей / повідомлень.
- Чи зберігаєте ви паролі в Chrome? Можливо, варто переглянути: Розповідає про вкрадені вами паролі хтось, хто має доступ до вашого облікового запису комп’ютера. Нічого не сказано про безпеку та вразливість центрального сховища. Існує навіть відповідь із технічної підтримки браузера Chrome щодо першого випуску.
- Божевільна стратегія захисту пароля Chrome: здебільшого за тією ж лінією. Ви можете вкрасти пароль у когось, якщо у вас є доступ до облікового запису комп'ютера.
- Як красти паролі, збережені в Google Chrome за 5 простих кроків: навчає, як насправді виконувати діяти згадані в попередніх двох, коли у вас є доступ до чужого облікового запису.
Є ще багато (в тому числі і цей на цей сайт), в основному за тією ж лінією, пунктами, зустрічними пунктами, величезними дебатами. Я не хочу згадувати їх тут, просто проведіть пошук, якщо ви хочете їх знайти.
Повернувшись до мого оригінального запиту, може Googleпрацівник бачити мій пароль? Оскільки я можу переглядати пароль за допомогою простої кнопки, безумовно, їх можна розмити (розшифрувати), навіть якщо вони зашифровані. Це дуже відрізняється від паролів, збережених у Unix-подібній ОС, де збережений пароль ніколи не можна побачити у простому тексті.
Вони використовують односторонній алгоритм шифрування длязашифруйте ваші паролі. Потім цей зашифрований пароль зберігається у файлі passwd або тіні. Коли ви намагаєтесь увійти, пароль, який ви вводите, знову зашифровується та порівнюється із записом у файлі, в якому зберігаються ваші паролі. Якщо вони відповідають, це повинен бути той самий пароль, і вам дозволяється доступ. Таким чином, супер-користувач може змінити мій пароль, може заблокувати мій обліковий запис, але він ніколи не може побачити мій пароль.
Тож чи є його стурбованість обґрунтованою, чи трохи розуміння розвіяє його стурбованість?
Відповідь
Розміщувач SuperUser Zeel допомагає спокійно думати:
Коротка відповідь: Ні *
Паролі, що зберігаються на локальній машині, можуть бутирозшифровується Chrome, якщо ваш обліковий запис користувача ОС увійшов до системи. Потім ви можете переглянути їх у простому тексті. Спочатку це здається жахливим, але як ви думали, що заправка спрацювала? Коли це поле заповнюється, Chrome повинен вставити реальний пароль в елемент форми HTML - інакше сторінка не працюватиме належним чином, і ви не можете надіслати форму. Якщо підключення до веб-сайту не відбувається через HTTPS, звичайний текст надсилається через Інтернет. Іншими словами, якщо chrome не може отримати просто текстові паролі, вони є абсолютно марними. Один із способів хеш - це не добре, тому що нам потрібно їх використовувати.
Тепер фактично паролі зашифровані, єдиніспосіб повернути їх до простого тексту - це ключ розшифровки. Цей ключ - ваш пароль Google або вторинний ключ, який ви можете налаштувати. Після входу в Chrome і синхронізації сервери Google передаватимуть зашифровано паролі, налаштування, закладки, автоматичне заповнення тощо для вашого локального апарату. Тут Chrome розшифрує інформацію та зможе її використовувати.
У кінці Google вся ця інформація зберігається в їїзашифрований стан, і вони не мають ключа, щоб розшифрувати його. Ваш пароль облікового запису перевіряється на хеш для входу в Google, і навіть якщо ви пам’ятаєте, що це хромує, ця зашифрована версія прихована в тому ж пакеті, що й інші паролі, доступ до яких неможливо. Тож працівник, ймовірно, може захопити дамп із зашифрованих даних, але це не принесе їм користі, оскільки вони не зможуть ним скористатися. *
Тому ні, працівники Google не можуть ** отримати доступ до ваших паролів, оскільки вони зашифровані на своїх серверах.
* Однак не забувайте, що будь-яка система, яка можеотримати доступ до нього уповноваженим користувачем може отримати доступ несанкціонований користувач. Деякі системи легше зламати, ніж інші, але жодна не є безвідмовною. . . Попри це, я думаю, що я буду довіряти Google та мільйонам, які вони витрачають на системи безпеки, над будь-яким іншим рішенням для зберігання паролів. І чорт забираю, я негідний ботанік, мені було б легше перемогти паролі, ніж зламати шифрування Google.
** Я також припускаю, що немає людини, якапросто трапляється, що Google отримує доступ до вашої локальної машини. У такому випадку ви накручені, але зайнятість у компанії Google вже не є фактором. Мораль: Хіт Виграти + L перед виходом із машини.
Хоча ми погоджуємось із зеленью, що це досить безпечнозробіть ставку (доки ваш комп’ютер не порушений), що ваші паролі насправді є безпечними під час зберігання в Chrome, ми вважаємо за краще зашифрувати всі наші входи та паролі у сховищі LastPass.
Щось додати до пояснення? Звучить у коментарях. Хочете прочитати більше відповідей від інших користувачів, які користуються технологією Stack Exchange? Ознайомтесь із повною темою дискусії тут.
