Przechowywanie haseł w przeglądarce internetowej wydaje się być świetnym sposobem na zaoszczędzenie czasu, ale czy hasła są bezpieczne i niedostępne dla innych (nawet pracowników firmy zajmującej się przeglądarką), gdy się je zgubi?
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser MMA jest ciekawy, czy pracownicy Google mają (lub mogą mieć) dostęp do haseł, które przechowuje w Google Chrome:
Rozumiem, że naprawdę kusi nas, aby zapisać nasze hasła w Google Chrome. Prawdopodobna korzyść jest dwojaka,
- Nie musisz (zapamiętywać i) wprowadzać tych długich i zagadkowych haseł.
- Są one dostępne wszędzie tam, gdzie jesteś po zalogowaniu się na swoje konto Google.
Ostatni punkt wzbudził moje wątpliwości. Ponieważ hasło jest dostępnegdziekolwiek, pamięć musi znajdować się w jakimś centralnym miejscu, a to powinno być w Google.
Teraz moje proste pytanie brzmi: czy pracownik Google może zobaczyć moje hasła?
Wyszukiwanie w Internecie ujawniło kilka artykułów/wiadomości.
- Czy zapisujesz hasła w Chrome? Może powinieneś się zastanowić: Mówi o kradzieży haseł przez kogoś, kto ma dostęp do Twojego konta na komputerze. Nic nie wspomniano o bezpieczeństwie centralnej pamięci masowej i luce w zabezpieczeniach. Jest nawet odpowiedź od kierownika ds. zabezpieczeń przeglądarki Chrome na temat pierwszego problemu.
- Niesamowita strategia zabezpieczania haseł w Chrome: Przeważnie wzdłuż tej samej linii. Możesz ukraść komuś hasło, jeśli masz dostęp do konta na komputerze.
- Jak ukraść hasła zapisane w Google Chrome w 5 prostych krokach: Uczy, jak właściwie wykonaćaktwspomniane w poprzednich dwóch, gdy masz dostęp do konta innej osoby.
Jest ich o wiele więcej (w tymtenwta strona), przeważnie po tej samej linii, punkty, kontrapunkty, wielkie debaty. Nie wspominam o nich tutaj, po prostu przeszukaj je, jeśli chcesz je znaleźć.
Wracając do mojego pierwotnego zapytania, czy pracownik Google może zobaczyć moje hasło? Ponieważ mogę wyświetlić hasło za pomocą prostego przycisku, zdecydowanie można je odszyfrować (odszyfrować), nawet jeśli są zaszyfrowane. Różni się to bardzo od haseł zapisanych w systemach uniksopodobnych, w których zapisane hasło nigdy nie jest widoczne w postaci zwykłego tekstu.
Używają jednokierunkowego algorytmu szyfrowaniado szyfrowania haseł. To zaszyfrowane hasło jest następnie przechowywane w pliku passwd lub shadow. Kiedy próbujesz się zalogować, wpisywane hasło jest ponownie szyfrowane i porównywane z wpisem w pliku, który przechowuje twoje hasła. Jeśli pasują, musi to być to samo hasło i masz dostęp. W ten sposób superużytkownik może zmienić moje hasło, zablokować moje konto, ale nigdy nie zobaczy mojego hasła.
Czy zatem jego obawy są dobrze uzasadnione, czy też odrobina wglądu rozwieje jego obawy?
Odpowiedź
Współtwórca SuperUser Zeel pomaga mu się uspokoić:
Krótka odpowiedź: Nie*
Hasła przechowywane na komputerze lokalnym mogą być odszyfrowane przez Chrome, o ile konto użytkownika systemu operacyjnego jest zalogowane. Następnie możesz je wyświetlić w postaci zwykłego tekstu. Na początku wydaje się to okropne, ale jak myślisz, jak działa autouzupełnianie? Po wypełnieniu tego pola hasła Chrome musi wstawić prawdziwe hasło do elementu formularza HTML – w przeciwnym razie strona nie będzie działać poprawnie i nie będziesz mógł przesłać formularza. A jeśli połączenie z witryną nie odbywa się przez HTTPS, zwykły tekst jest przesyłany przez Internet. Innymi słowy, jeśli chrome nie może uzyskać haseł w postaci zwykłego tekstu, są one całkowicie bezużyteczne. Hash jednokierunkowy nie jest dobry, ponieważ musimy go używać.
Teraz hasła są w rzeczywistości zaszyfrowane, jedynym sposobem na przywrócenie ich do postaci zwykłego tekstu jest posiadanie klucza deszyfrującego. Ten klucz to Twoje hasło Google lub klucz dodatkowy, który możesz skonfigurować. Gdy zalogujesz się w Chrome i zsynchronizujesz, serwery Google będą przesyłaćzaszyfrowanehasła, ustawienia, zakładki, autouzupełnianie itp. do lokalnego komputera. Tutaj Chrome odszyfruje informacje i będzie mógł z nich korzystać.
Po stronie Google wszystkie te informacje są przechowywane w stanie zaszyfrowanym i nie mają klucza do ich odszyfrowania. Twoje hasło do konta jest sprawdzane z hashem, aby zalogować się do Google, i nawet jeśli pozwolisz Chrome je zapamiętać, ta zaszyfrowana wersja jest ukryta w tym samym pakiecie, co inne hasła, i nie ma do niej dostępu. Tak więc pracownik prawdopodobnie mógłby pobrać zrzut zaszyfrowanych danych, ale nie przyniosłoby to niczego dobrego, ponieważ nie mieliby możliwości ich wykorzystania.*
Więc nie, pracownicy Google nie mogą** uzyskać dostępu do Twoich haseł, ponieważ są one zaszyfrowane na ich serwerach.
* Nie zapominaj jednak, że do każdego systemu, do którego może uzyskać dostęp upoważniony użytkownik, może uzyskać dostęp nieautoryzowany użytkownik. Niektóre systemy są łatwiejsze do złamania niż inne, ale żaden nie jest odporny na awarie. . . Biorąc to pod uwagę, myślę, że zaufam Google i milionom, które wydają na systemy bezpieczeństwa, w porównaniu z jakimkolwiek innym rozwiązaniem do przechowywania haseł. I do licha, jestem słabym frajerem, łatwiej byłoby wybić ze mnie hasła niż złamać szyfrowanie Google.
** Zakładam też, że nie ma osoby, która przypadkiem pracuje dla Google, uzyskując dostęp do Twojego lokalnego komputera. W takim razie masz przerąbane, ale zatrudnienie w Google nie jest już tak naprawdę czynnikiem.Moralność: HitZdobyć+Lprzed opuszczeniem maszyny.
Chociaż zgadzamy się z zeelem, że jest to całkiem bezpieczny zakład (o ile Twój komputer nie jest zagrożony), że Twoje hasła są w rzeczywistości bezpieczne podczas przechowywania w Chrome, wolimy szyfrować wszystkie nasze loginy i hasła w skarbcu LastPass.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange?Sprawdź pełny wątek dyskusji tutaj.