Hjemmeside » hvordan » Kan Google-ansatte se mine lagrede Google Chrome-passord?

    Kan Google-ansatte se mine lagrede Google Chrome-passord?

    Lagring av passordene i nettleseren din virker som en god tidsbesparende, men passordene er sikre og utilgjengelige for andre (selv ansatte i nettleserfirmaet)?

    Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrevet gruppering av Q & A-nettsteder.

    Spørsmålet

    SuperUser-leser MMA er nysgjerrig om Google-ansatte har (eller kunne ha) tilgang til passordene han lagrer i Google Chrome:

    Jeg forstår at vi virkelig er fristet til å lagre passordene våre i Google Chrome. Den sannsynlige fordelen er to ganger,

    • Du trenger ikke å (huske og) legge inn de lange og kryptiske passordene.
    • Disse er tilgjengelige uansett hvor du er en gang du logger deg på Google-kontoen din.

    Det siste punktet ga meg tvil. Siden passordet er tilgjengelig hvor som helst, lagringsplassen må være sentralt, og dette bør være på Google.

    Nå er mitt enkle spørsmål, kan en Google-ansatt se passordene mine?

    Søker over Internett avslørte flere artikler / meldinger.

    • Lagrer du passord i Chrome? Kanskje du bør revurdere: Snakk om passordene dine blir stjålet av noen som har tilgang til datamaskinen din. Ingenting nevnt om den sentrale lagringssikkerheten og sårbarheten. Det er enda et svar fra Chrome-nettleserens sikkerhetsteknologi om det første problemet.
    • Chrome er vanvittig passord sikkerhetsstrategi: Mest sett på samme linje. Du kan stjele passord fra noen hvis du har tilgang til datamaskinens konto.
    • Slik stjeler du passord lagret i Google Chrome i 5 enkle trinn: Lærer deg hvordan du faktisk skal utføre handling nevnt i de to foregående når du har tilgang til en andres konto.

    Det er mange flere (inkludert denne på denne siden), for det meste langs samme linje, poeng, motpoeng, store debatter. Jeg avstår fra å nevne dem her, bare bære et søk hvis du vil finne dem.

    Kommer tilbake til det opprinnelige spørsmålet mitt, kan en Google-ansatt se passordet mitt? Siden jeg kan se passordet ved hjelp av en enkel knapp, kan de definitivt bli dekodet (dekryptert), selv om de er kryptert. Dette er svært forskjellig fra passordene lagret i Unix-lignende OS der det lagrede passordet aldri kan ses i vanlig tekst.

    De bruker en enveis krypteringsalgoritme for å kryptere passordene dine. Dette krypterte passordet lagres så i passord- eller skyggefilen. Når du prøver å logge inn, krypteres passordet du skriver inn, og sammenlignes med oppføringen i filen som lagrer passordene dine. Hvis de matcher, må det være det samme passordet, og du får tilgang. Således kan en superbruker endre passordet mitt, kan blokkere kontoen min, men han kan aldri se passordet mitt.

    Så er hans bekymringer velbegrunnet eller vil litt innsikt ødelegge hans bekymring?

    Svaret

    SuperUser-bidragsyter Zeel hjelper til med å tenke seg:

    Kort svar: Nei *

    Passord lagret på din lokale maskin kan dekrypteres av Chrome, så lenge OS-brukerkontoen din er logget inn. Og så kan du se dem i vanlig tekst. I begynnelsen virker dette forferdelig, men hvordan syntes du at autofyllingen fungerte? Når passordfeltet blir fylt ut, må Chrome sette det ekte passordet inn i HTML-skjemaelementet - ellers ville siden ikke fungere riktig, og du kunne ikke sende skjemaet. Og hvis forbindelsen til nettstedet ikke er over HTTPS, sendes den rene teksten over internett. Med andre ord, hvis krom ikke får ordene med vanlig tekst, er de helt ubrukelige. En engangs-hash er ikke bra, fordi vi må bruke dem.

    Nå er passordene faktisk kryptert, den eneste måten å få dem tilbake til ren tekst er å ha dekrypteringsnøkkelen. Denne nøkkelen er ditt Google-passord, eller en sekundærnøkkel du kan konfigurere. Når du logger på Chrome og synkroniserer Google-tjenerne, sender du kryptert passord, innstillinger, bokmerker, automatisk fylling, etc, til din lokale maskin. Her dekrypterer Chrome informasjonen og kan bruke den.

    På Googles slutt er all den informasjonen lagret i sin kodede tilstand, og de har ikke nøkkelen til å dekryptere den. Kontopassordet ditt er sjekket mot en hash for å logge på Google, og selv om du lar krom huske det, er den krypterte versjonen skjult i samme pakke som de andre passordene, umulig å få tilgang til. Så en ansatt kunne nok få tak i en dump av krypterte data, men det ville ikke gjøre dem noe bra, siden de ikke hadde mulighet til å bruke den. *

    Så nei, Google-ansatte kan ikke ** få tilgang til passordene dine, siden de er kryptert på sine servere.

    * Ikke glem at et system som kan nås av en autorisert bruker, kan åpnes av en uautorisert bruker. Noen systemer er lettere å bryte enn andre, men ingen er feilbestandige ... Når det blir sagt tror jeg jeg vil stole på Google og de millioner de bruker på sikkerhetssystemer, over alle andre lagringsløsninger for passord. Og heck, jeg er en wimpy nerd, det ville være lettere å slå passordene ut av meg enn å bryte Googles kryptering.

    ** Jeg antar også at det ikke er en person som bare skjer for å få Google til å få tilgang til din lokale maskin. I så fall er du skrudd, men ansettelse hos Google er egentlig ikke en faktor lenger. Moral: Hit Win + L før du forlater maskinen.

    Selv om vi er enige med Zeel om at det er en ganske sikker innsats (så lenge datamaskinen ikke er i fare) at passordene dine faktisk er trygge mens de lagres i Chrome, foretrekker vi å kryptere alle våre pålogginger og passord i et LastPass-hvelv.


    Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.