Voivatko Google-työntekijät nähdä tallennetut Google Chromen salasanat?

Salasanojen tallentaminen Web-selaimeen tuntuu hyvältä aikaa säästäjältä, mutta ovatko salasanat turvallisia ja niitä ei voi käyttää muille (jopa selaimen yrityksen työntekijöille), kun heidät on suljettu pois?

Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUserin - Stack Exchange -alueen, yhteisöpohjaisen Q & A-sivustojen ryhmittymän - kautta..

Kysymys

SuperUser-lukija MMA on utelias, jos Google-työntekijöillä on (tai voisi olla) pääsy Google Chromen tallennettuihin salasanoihin:

Ymmärrän, että olemme todella houkuttelevia tallentamaan salasanamme Google Chromessa. Todennäköinen hyöty on kaksi kertaa,

• Sinun ei tarvitse (tallentaa ja tallentaa) näitä pitkiä ja salaisia ​​salasanoja.
• Nämä ovat käytettävissä missä tahansa, kun olet kirjautunut Google-tiliisi.

Viimeinen asia herätti epäilykseni. Koska salasana on käytettävissä missä tahansa, tallennuksen on oltava keskeisellä paikalla, ja sen pitäisi olla Googlessa.

Nyt yksinkertainen kysymykseni on, voiko Google-työntekijä nähdä salasanani?

Internetin etsiminen paljasti useita artikkeleita / viestejä.

• Tallentatko salasanoja Chromeen? Ehkä sinun pitäisi harkita uudelleen: keskustelee salasanasi varastamisesta joku, jolla on pääsy tietokoneesi tilille. Mikään ei maininnut keskusvarastojen turvallisuudesta ja haavoittuvuudesta. Chrome-selaimen tietoturvateknologia johtaa jopa ensimmäiseen numeroon.
• Chrome: n hullu salasanasuojausstrategia: Enimmäkseen samaa linjaa. Voit varastaa salasanan jollekin, jos sinulla on pääsy tietokoneen tilille.
• Google Chromessa tallennettujen salasanojen varastaminen 5 yksinkertaisessa vaiheessa: Opettaa, miten voit todella suorittaa toimia edellä mainituissa kahdessa tapauksessa, kun sinulla on pääsy jonkun muun tilille.

On paljon enemmän (mukaan lukien tämä tällä sivustolla), pääosin samalla linjalla, kohdat, vastakohdat, valtavat keskustelut. En pidä mainitsematta niitä täällä, vain haet haun, jos haluat löytää ne.

Palaanko alkuperäiseen kyselyyn, voiko Google-työntekijä nähdä salasanani? Koska voin tarkastella salasanaa yksinkertaisella painikkeella, ne voidaan varmasti poistaa (salauksen purkamisesta), vaikka ne olisivat salattuja. Tämä eroaa hyvin Unix-tyyppisiin käyttöjärjestelmiin tallennetuista salasanoista, joissa tallennettua salasanaa ei voi koskaan nähdä tavallisessa tekstissä.

Salasanojen salaamiseen käytetään yksisuuntaista salausalgoritmia. Tämä salattu salasana tallennetaan sitten passwd- tai varjo-tiedostoon. Kun yrität kirjautua sisään, salasana, jonka kirjoitat, salataan uudelleen ja verrataan salasanoja tallentavan tiedoston tiedostoon. Jos ne vastaavat, sen on oltava sama salasana ja sinulla on pääsy. Siten pääkäyttäjä voi muuttaa salasanani, estää tilini, mutta hän ei koskaan näe salasanaa.

Niinpä hänen huolenaiheensa ovat perusteltuja tai he saavat vähän käsitystä hälventää?

Vastaus

SuperUserin avustaja Zeel auttaa mielellään:

Lyhyt vastaus: Ei *

Chrome voi purkaa paikalliseen koneeseen tallennetut salasanat niin kauan kuin käyttöjärjestelmän käyttäjätili on kirjautunut sisään. Ja sitten voit tarkastella niitä tavallisessa tekstissä. Aluksi tämä tuntuu kamalalta, mutta miten luulitte, että automaattinen täyttö toimi? Kun salasana-kenttä täytetään, Chrome on lisättävä todellinen salasana HTML-lomakkeen elementtiin - tai muuten sivu ei toimi oikein, ja et voinut lähettää lomaketta. Ja jos yhteys sivustoon ei ole HTTPS: n yli, tavallinen teksti lähetetään sitten Internetin kautta. Toisin sanoen, jos kromi ei pysty saamaan pelkkää tekstiä, ne ovat täysin hyödyttömiä. Yksi tapa ei ole hyvä, koska meidän on käytettävä niitä.

Nyt salasanat ovat itse asiassa salattuja, ainoa tapa saada ne takaisin tavalliseen tekstiin on salausavaimen saaminen. Tämä avain on Google-salasanasi tai toissijainen avain, jonka voit määrittää. Kun kirjaudut Chromeen ja synkronoit Google-palvelimet lähettävät salattu salasanat, asetukset, kirjanmerkit, automaattinen täyttö jne. paikalliselle koneellesi. Tässä Chrome purkaa tiedot ja voi käyttää sitä.

Googlen lopussa kaikki nämä tiedot tallennetaan salattuun tilaansa, eikä niillä ole avainta sen purkamiseen. Tilisi salasana tarkistetaan Google-järjestelmään kirjautuvan hajautuksen yhteydessä, ja vaikka kromi muistatkin sen, salattu versio on piilotettu samaan pakettiin kuin muut salasanat, joita ei voi käyttää. Joten työntekijä voisi luultavasti tarttua salattujen tietojen kaatopaikalle, mutta se ei tee heille mitään hyvää, koska heillä ei olisi mitään mahdollisuutta käyttää sitä.

Niin, Google-työntekijät eivät voi ** käyttää salasanojasi, koska ne on salattu palvelimillaan.

* Älä kuitenkaan unohda, että valtuutettu käyttäjä voi käyttää mitä tahansa järjestelmää, johon valtuutettu käyttäjä pääsee käsiksi. Joitakin järjestelmiä on helpompi murtaa kuin muut, mutta mikään niistä ei ole vikaturvallista… Näin ollen uskon, että luotan Googleen ja miljooniin, joita he käyttävät turvajärjestelmiin, minkä tahansa muun salasanan säilytysratkaisun. Ja heck, olen wimpy nörtti, olisi helpompi voittaa salasanat pois minusta kuin rikkoa Googlen salausta.

** Oletan myös, että ei ole sellaista henkilöä, joka vain sattuu työskentelemään Googlen pääsemiseksi paikalliselle koneellesi. Siinä tapauksessa olet ruuvattu, mutta Googlen työllistäminen ei oikeastaan ​​ole enää tekijä. Moral: Hit Win + L ennen koneen poistumista.

Vaikka olemme samaa mieltä zeelin kanssa, että se on melko turvallinen veto (niin kauan kuin tietokonettasi ei vaarannu), että salasanasi ovat todella turvallisia Chrome-tallennuksen aikana, mieluummin salaamme kaikki kirjautumiset ja salasanat LastPass-holvissa.

Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.