Els empleats de Google poden veure les meves contrasenyes de Google Chrome desades?

foto 1 dels empleats-de-google-veure-les-meves-contrasenyes-desades-de-google-chrome

Emmagatzemar les vostres contrasenyes al vostre navegador web sembla un gran estalvi de temps, però les contrasenyes són segures i inaccessibles per als altres (fins i tot els empleats de l'empresa del navegador) quan s'esquivoren?

La sessió de preguntes i respostes d'avui ens arriba per cortesia de SuperUser, una subdivisió de Stack Exchange, una agrupació de llocs web de preguntes i respostes impulsada per la comunitat.



La Pregunta

El lector de superusuaris MMA té curiositat si els empleats de Google tenen (o podrien tenir) accés a les contrasenyes que emmagatzema a Google Chrome:

Entenc que estem molt temptats de desar les nostres contrasenyes a Google Chrome. El benefici probable és doble,

  • No cal (memoritzar i) introduir aquestes contrasenyes llargues i críptices.
  • Aquests estan disponibles allà on siguis un cop iniciïs la sessió al teu compte de Google.

L'últim punt em va despertar el dubte. Com que la contrasenya està disponible a qualsevol lloc, l'emmagatzematge ha d'estar en una ubicació central, i això hauria d'estar a Google.

Ara, la meva pregunta senzilla és: pot un empleat de Google veure les meves contrasenyes?

La cerca a Internet va revelar diversos articles/missatges.

  • Deseu les contrasenyes a Chrome? Potser t'hauries de reconsiderar: parla de les teves contrasenyes robades per algú que tingui accés al teu compte d'ordinador. No s'ha esmentat res sobre la seguretat i la vulnerabilitat de l'emmagatzematge central. Fins i tot hi ha una resposta del responsable tècnic de seguretat del navegador Chrome sobre el primer problema.
  • La bogeria estratègia de seguretat de contrasenya de Chrome: majoritàriament en la mateixa línia. Podeu robar la contrasenya d'algú si teniu accés al compte de l'ordinador.
  • Com robar les contrasenyes desades a Google Chrome en 5 passos senzills: us ensenya com realitzar l'acció esmentada als dos anteriors quan teniu accés al compte d'una altra persona.

N'hi ha molts més (inclòs aquest en aquest lloc), la majoria en la mateixa línia, punts, contrapunts, grans debats. M'abstinc d'esmentar-los aquí, només cal que feu una cerca si els voleu trobar.

Tornant a la meva consulta original, pot un empleat de Google veure la meva contrasenya? Com que puc veure la contrasenya amb un simple botó, definitivament es poden desxifrar (desxifrar) encara que estiguin xifrades. Això és molt diferent de les contrasenyes desades en sistemes operatius semblants a Unix, on la contrasenya desada mai es pot veure en text sense format.

Utilitzen un algorisme de xifratge unidireccional per xifrar les vostres contrasenyes. Aquesta contrasenya xifrada s'emmagatzema després al fitxer passwd o shadow. Quan intenteu iniciar sessió, la contrasenya que introduïu es torna a xifrar i es compara amb l'entrada del fitxer que emmagatzema les vostres contrasenyes. Si coincideixen, ha de ser la mateixa contrasenya i se't permet l'accés. Així, un superusuari pot canviar la meva contrasenya, bloquejar el meu compte, però mai podrà veure la meva contrasenya.

Llavors, les seves preocupacions estan ben fundades o una petita visió dissiparà la seva preocupació?

La resposta

El col·laborador de SuperUser Zeel l'ajuda a tranquil·litzar la seva ment:

Resposta curta: No*

Les contrasenyes emmagatzemades a la vostra màquina local es poden desxifrar per Chrome, sempre que el vostre compte d'usuari del sistema operatiu estigui iniciat. I després podeu veure-les en text sense format. Al principi sembla horrible, però com creieu que funcionava l'emplenament automàtic? Quan s'omple aquest camp de contrasenya, Chrome ha d'inserir la contrasenya real a l'element del formulari HTML; en cas contrari, la pàgina no funcionaria correctament i no podríeu enviar el formulari. I si la connexió al lloc web no es fa per HTTPS, el text sense format s'envia per Internet. En altres paraules, si Chrome no pot obtenir les contrasenyes de text sense format, llavors són totalment inútils. Un haixix unidireccional no és bo, perquè els hem d'utilitzar.

Ara les contrasenyes estan xifrades, l'única manera de tornar-les al text sense format és tenir la clau de desxifrat. Aquesta clau és la vostra contrasenya de Google o una clau secundària que podeu configurar. Quan inicieu sessió a Chrome i sincronitzeu, els servidors de Google transmetran les contrasenyes, la configuració, les adreces d'interès, l'emplenament automàtic, etc. encriptats a la vostra màquina local. Aquí Chrome desxifrarà la informació i podrà utilitzar-la.

Al final de Google, tota aquesta informació s'emmagatzema en el seu estat xifrat i no tenen la clau per desxifrar-la. La contrasenya del vostre compte es compara amb un hash per iniciar sessió a Google i, fins i tot si deixeu que Chrome la recordi, aquesta versió xifrada s'amaga al mateix paquet que les altres contrasenyes, impossible d'accedir. Per tant, un empleat probablement podria agafar un abocament de les dades xifrades, però no els serviria de res, ja que no tindrien cap manera d'utilitzar-les.*

Així que no, els empleats de Google no poden** accedir a les vostres contrasenyes, ja que estan xifrades als seus servidors.

* Tanmateix, no oblideu que qualsevol sistema al qual pugui accedir un usuari autoritzat pot accedir-hi un usuari no autoritzat. Alguns sistemes són més fàcils de trencar que altres, però cap és a prova de fallades. . . Dit això, crec que confiaré en Google i els milions que gasten en sistemes de seguretat, en lloc de qualsevol altra solució d'emmagatzematge de contrasenyes. I carai, sóc un nerd flaix, seria més fàcil treure'm les contrasenyes que trencar el xifratge de Google.

** També suposo que no hi ha cap persona que només treballi per a Google per accedir a la vostra màquina local. En aquest cas, estàs fotut, però l'ocupació a Google ja no és un factor. Moral: premeu Win + L abans de sortir de la màquina.

Tot i que estem d'acord amb Zeel que és una aposta bastant segura (sempre que el vostre ordinador no es vegi compromès) que les vostres contrasenyes estiguin segures mentre s'emmagatzemen a Chrome, preferim xifrar tots els nostres inicis de sessió i contrasenyes en una caixa de seguretat de LastPass.