Bolehkah Pekerja Google Lihat Kata Laluan Google Chrome Tersimpan Saya?
Menyimpan kata laluan anda dalam penyemak imbas web anda kelihatan seperti penyelamat yang hebat, tetapi kata laluan selamat dan tidak dapat diakses oleh orang lain (walaupun pekerja syarikat penyemak imbas) apabila tupai jauh?
Sesi Soalan & Jawapan hari ini datang kepada kami dengan ihsan SuperUser-bahagian pembahagian Stack Exchange, kumpulan yang diketuai oleh komuniti laman web Q & A.
Soalan
Pembaca SuperUser MMA ingin tahu jika pekerja Google mempunyai (atau boleh mempunyai) akses kepada kata laluan yang dia simpan di Google Chrome:
Saya faham bahawa kita benar-benar tergoda untuk menyimpan kata laluan kami di Google Chrome. Manfaat yang mungkin adalah dua kali ganda,
- Anda tidak perlu (menghafal dan) memasukkan kata laluan yang panjang dan samar itu.
- Ini boleh didapati di mana sahaja anda berada apabila anda log masuk ke akaun Google anda.
Titik terakhir mencetuskan keraguan saya. Oleh kerana kata laluan itu tersedia di mana sahaja, storan mesti di beberapa lokasi pusat, dan ini harus di Google.
Sekarang, soalan mudah saya, bolehkah pekerja Google melihat kata laluan saya?
Mencari melalui Internet mendedahkan beberapa artikel / mesej.
- Adakah anda menyimpan kata laluan dalam Chrome? Mungkin anda harus mempertimbangkan semula: Ceramah mengenai kata laluan anda dicuri oleh seseorang yang mempunyai akses ke akaun komputer anda. Tiada apa-apa yang disebut mengenai keselamatan penyimpanan pusat dan kelemahan. Terdapat juga respons daripada teknologi keselamatan penyemak imbas Chrome memimpin mengenai isu pertama.
- Strategi keselamatan kata laluan Chrome yang gila: Kebanyakan sepanjang garis yang sama. Anda boleh mencuri kata laluan dari seseorang jika anda mempunyai akses ke akaun komputer.
- Cara Mencuri Kata Laluan Disimpan di Google Chrome dalam 5 Langkah Mudah: Mengajar anda bagaimana untuk melaksanakannya bertindak disebutkan dalam dua yang terdahulu apabila anda mempunyai akses kepada akaun orang lain.
Terdapat banyak lagi (termasuk satu ini pada laman web ini), kebanyakannya di sepanjang garis yang sama, mata, mata balas, perdebatan besar. Saya mengelak daripada menyebut mereka di sini, hanya membawa carian jika anda ingin mencari mereka.
Kembali ke pertanyaan asal saya, bolehkah pekerja Google melihat kata laluan saya? Memandangkan saya dapat melihat kata laluan dengan menggunakan butang mudah, pastinya mereka tidak boleh digegarkan (didekripsi) walaupun disulitkan. Ini sangat berbeza dengan kata laluan yang disimpan dalam OS seperti Unix yang kata laluan yang disimpan tidak boleh dilihat dalam teks biasa.
Mereka menggunakan algoritma penyulitan sehala untuk menyulitkan kata laluan anda. Kata laluan yang disulitkan kemudian disimpan dalam fail passwd atau bayangan. Apabila anda cuba log masuk, kata laluan yang anda taip dienkripsi semula dan dibandingkan dengan entri dalam fail yang menyimpan kata laluan anda. Jika mereka sepadan, mestilah kata laluan yang sama, dan anda dibenarkan masuk. Oleh itu, seorang pengguna super boleh mengubah kata laluan saya, boleh menyekat akaun saya, tetapi dia tidak dapat melihat kata laluan saya.
Begitu juga kebimbangannya yang diasaskan atau akan sedikit wawasan menghilangkan kebimbangannya?
Jawapan
Penyumbang SuperUser Zeel membantu menenangkan fikirannya:
Jawapan pendek: tidak *
Kata laluan yang disimpan di mesin tempatan anda boleh didekripsi oleh Chrome, selagi akaun pengguna OS anda dilog masuk Dan kemudian anda boleh melihatnya dalam teks biasa. Pada mulanya ini kelihatannya mengerikan, tetapi bagaimana anda berfikir secara automatik berfungsi? Apabila medan kata laluan itu diisi, Chrome harus memasukkan kata laluan yang sebenarnya ke dalam elemen bentuk HTML - atau halaman tidak akan berfungsi dengan betul, dan anda tidak dapat menyerahkan borang tersebut. Dan jika sambungan ke tapak web tidak melebihi HTTPS, teks biasa kemudian dihantar melalui internet. Dengan kata lain, jika krom tidak boleh mendapatkan kata laluan teks biasa, maka mereka tidak berguna. Satu cara hash tidak baik, kerana kita perlu menggunakannya.
Kini kata laluan sebenarnya disulitkan, satu-satunya cara untuk mendapatkannya kembali kepada teks biasa adalah untuk mempunyai kunci penyahsulitan. Kunci itu ialah kata laluan Google anda, atau kunci sekunder yang anda boleh sediakan. Apabila anda melog masuk ke Chrome dan menyegerakkan pelayan Google akan menghantarnya disulitkan kata laluan, tetapan, penanda buku, auto-fill, dan sebagainya, ke mesin tempatan anda. Di sini Chrome akan menyahsulit maklumat dan dapat menggunakannya.
Di akhir Google semua maklumat itu disimpan dalam keadaan tertutup, dan mereka tidak mempunyai kunci untuk menyahsulitnya. Kata laluan akaun anda diperiksa terhadap hash untuk log masuk ke Google, dan walaupun anda membiarkan krome ingat, versi yang disulitkan tersembunyi dalam bundel yang sama dengan kata laluan yang lain, tidak boleh diakses. Oleh itu, pekerja mungkin boleh merampas data yang disulitkan, tetapi ia tidak akan melakukan apa-apa yang baik, kerana mereka tidak mempunyai cara untuk menggunakannya. *
Jadi tidak, pekerja Google tidak boleh mengakses kata laluan anda, kerana ia disulitkan pada pelayan mereka.
* Walau bagaimanapun, jangan lupa bahawa mana-mana sistem yang boleh diakses oleh pengguna yang dibenarkan boleh diakses oleh pengguna yang tidak dibenarkan. Sesetengah sistem lebih mudah untuk dipecahkan daripada yang lain, tetapi tidak ada bukti-bukti ... Bahawa dikatakan, saya fikir saya akan mempercayai Google dan berjuta-juta yang mereka habiskan pada sistem keselamatan, berbanding mana-mana penyelesaian penyimpanan kata laluan yang lain. Dan sesungguhnya, saya seorang ahli sihir yang bijaksana, lebih mudah untuk mengalahkan kata laluan daripada saya daripada memecahkan enkripsi Google.
** Saya juga mengandaikan bahawa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke mesin tempatan anda. Dalam kes ini, anda diskrukan, tetapi pekerjaan di Google sebenarnya bukan faktor lagi. Moral: Hit Win + L sebelum meninggalkan mesin.
Walaupun kami bersetuju dengan perkara ini bahawa ia adalah pertaruhan yang sangat selamat (selagi komputer anda tidak dikompromi) bahawa kata laluan anda sebenarnya selamat semasa disimpan di Chrome, kami lebih suka menyulitkan semua log masuk dan kata laluan kami dalam peti besi LastPass.
Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.