Чи можуть працівники Google бачити мої паролі, збережені в Google Chrome?

Я розумію, що ми дійсно спокушаємося зберігати свої паролі в Google Chrome. Ймовірна вигода в два рази,

Вам не потрібно (запам’ятовувати та) вводити ці довгі та виразні паролі.
Вони доступні будь-коли, коли ви входите у свій обліковий запис Google.

Останній пункт викликав у мене сумніви. Оскільки пароль доступний у будь-якому місці , сховище має знаходитись у якомусь центральному місці, і це має бути в Google.

Тепер моє просте запитання полягає в тому, чи може співробітник Google бачити мої паролі?

Пошук через Інтернет виявив кілька статей / повідомлень.

Чи зберігаєте ви паролі в Chrome? Можливо, варто переглянути : Розповідає про те, що ваші паролі вкрадені тим, хто має доступ до вашого облікового запису комп’ютера. Нічого не сказано про безпеку та вразливість центрального сховища. Існує навіть відповідь із технічної підтримки браузера Chrome щодо першого випуску.
Божевільна стратегія захисту пароля Chrome : здебільшого за тією ж лінією. Ви можете вкрасти пароль у когось, якщо у вас є доступ до облікового запису комп'ютера.
Як красти паролі, збережені в Google Chrome за 5 простих кроків : навчає, як насправді виконувати дію, згадане у попередніх двох, коли у вас є доступ до чужого облікового запису.

Є ще багато (в тому числі цього на цьому сайті ), в основному за тією ж лінією, пунктами, зустрічними пунктами, величезними дискусіями. Я не хочу згадувати їх тут, просто проведіть пошук, якщо ви хочете їх знайти.

Повертаючись до мого оригінального запиту, чи може співробітник Google бачити мій пароль? Оскільки я можу переглядати пароль за допомогою простої кнопки, безумовно, їх можна розмити (розшифрувати), навіть якщо вони зашифровані. Це дуже відрізняється від паролів, збережених у Unix-подібних ОС, де збережений пароль ніколи не можна побачити у простому тексті.

Вони використовують алгоритм шифрування в одну сторону для шифрування ваших паролів. Потім цей зашифрований пароль зберігається у файлі passwd або тіні. При спробі входу в систему пароль, який ви вводите, знову зашифровується та порівнюється із записом у файлі, в якому зберігаються ваші паролі. Якщо вони відповідають, це повинен бути той самий пароль, і вам дозволяється доступ. Таким чином, супер-користувач може змінити мій пароль, може заблокувати мій обліковий запис, але він ніколи не може побачити мій пароль.

— Массор
джерело

Ви не можете "зняти" рядок. Криптографічні хеш-функції є односторонніми, вони розроблені таким чином, щоб вони були нездійсненними (тобто зайняти стільки часу, щоб до того моменту, як ви це зробите, це вже не матиме значення) повернути назад. * Nix "" алгоритм одностороннього шифрування "" є хеш-функцією.

— Blacklight Shining

Спасибі, якось захопився. Я хотів мати на увазі розшифрування.

— Masroor

Поки ці паролі також не використовуються для WiFi на Android, вам слід заощадити. Я мушу сказати це, оскільки Google знає ваші пропуски WiFi, які використовуються на Android.

— математика

@math Чи хотіли б ви це трохи розробити? Якось не вдалося зрозуміти повною мірою.

— Masroor

Існує багато сайтів новин, що займаються цією темою, просто використовуйте пошукову машину з: "паролі WiFi google android" зроблено. Напр. Gizmodo.com/…

— математика

Відповіді:

Коротка відповідь: Ні ^*

Паролі, що зберігаються на вашій локальній машині, можуть розшифровуватися Chrome, якщо ваш обліковий запис користувача ОС увійшов у систему. І тоді ви можете переглянути їх у простому тексті. Спочатку це здається жахливим, але як ви думали, що заправка спрацювала? Коли це поле заповнюється, Chrome повинен вставити реальний пароль в елемент форми HTML - інакше сторінка не працюватиме належним чином, і ви не можете надіслати форму. Якщо підключення до веб-сайту не відбувається через HTTPS, звичайний текст надсилається через Інтернет. Іншими словами, якщо chrome не може отримати просто текстові паролі, то вони абсолютно марні. Один із способів хеш - це не добре, тому що нам потрібно їх використовувати.

Тепер паролі фактично зашифровані, єдиний спосіб повернути їх до простого тексту - це ключ розшифровки. Цей ключ - ваш пароль Google або вторинний ключ, який ви можете налаштувати. Після входу в Chrome і синхронізації сервери Google передадуть зашифровані паролі, налаштування, закладки, автоматичне заповнення тощо на ваш локальний комп'ютер. Тут Chrome розшифрує інформацію та зможе її використовувати.

У кінці Google вся ця інформація зберігається в її зашифрованому стані, і у них немає ключа для її розшифровки. Пароль вашого облікового запису перевіряється на хеш для входу в Google, і навіть якщо ви пам’ятаєте хрому, це зашифрована версія прихована в тому ж пакеті, що й інші паролі, доступ до яких неможливо. Тож працівник, ймовірно, міг схопити дамп із зашифрованих даних, але це не принесло б їм нічого корисного, оскільки вони не мали б можливості їх використовувати. ^*

Тому ні, працівники Google не можуть ^** отримати доступ до ваших паролів, оскільки вони зашифровані на своїх серверах.

^{* Однак не забувайте, що будь-яку систему, до якої може отримати доступ авторизований користувач, може отримати доступ несанкціонований користувач. Деякі системи легше зламати, ніж інші, але жодна не є безвідмовною. . . Попри це, я думаю, що я буду довіряти Google та мільйонам, які вони витрачають на системи безпеки, над будь-яким іншим рішенням для зберігання паролів. І чорт забираю, я здумливий ботанік, було б легше перемогти паролі в мене, ніж порушити шифрування Google.}

^{** Я також припускаю, що не існує людини, яка би просто працювала за тим, щоб Google отримав доступ до вашої локальної машини. У такому випадку вас накрутили, але зайнятість у Google насправді вже не є фактором. Мораль: натисніть Win+, Lперш ніж вийти з машини.}

— зелень
джерело

Win + L не працює для мене, оскільки я є користувачем Linux. Але дякую, я звик ніколи не блокувати свою машину під час виїзду.

— Массор

Добре, що це важливо. А для користувачів, які не користуються Windows, я впевнений, що існує простий спосіб створити гарячу клавішу блокування.

— zeel

Більшість Linux використовує Ctl-Alt-L для блокування машини. Я навіть раніше використовував утиліту, яку заблокував за допомогою Bluetooth, щоб виявити наявність / відсутність мого телефону.

— Дрейк Кларріс

Якщо мій пароль Google є ключем, який використовується для розшифрування інших паролів, які зберігає для мене Google, чи не доведеться Google запитувати мій пароль Google кожного разу, коли вони хочуть автоматично заповнити один з інших моїх паролів? Оскільки вони цього не роблять, змушує мене думати, що мій пароль Google не є ключовим, оскільки Google нібито не зберігає мого фактичного пароля Google ніде. Отже, що є ключовим?

— Кріс Морріс

Ваш місцевий примірник Chrome зберігає копію всіх паролів. Я не знаю, як саме працює ця система, і вона може значно змінитися з часом. Наскільки мені відомо, ваш пароль Google (або інший ключ, якщо ви його встановили) потрібно використовувати для розшифрування ваших даних під час першої ініціалізації установки Chrome. Я припускаю, що ваша машина зберігає пароль або ключ для подальшого використання, тому вам не потрібно його повторно вводити, але він не зберігається на сервері Google.

— зель

Насправді, досить тривіально отримувати паролі з більшості браузерів. Статтю про шалену безпеку паролів написав хтось, хто в основному використовує Safari, і, здається, вважає, що ВІН це правильний шлях. Це безпека рівня користувача через незрозумілість. Людина, яка порушила цю проблему, - це розробник, який займається в основному розробкою iOS, OS X та веб-сайтів, а не розвитком безпеки. counterarguement Google, занадто

У Windows, цей інструмент від Nirsoft зручно дає мені доступ до всіх ваших паролів із кількох браузерів. Якщо хтось має фізичний доступ до вашої системи, вже пізно.

І ні, навряд чи Google дозволить своїм співробітникам бачити ваші паролі - фактична частина синхронізації браузера зашифрована - або використовуючи ваші облікові дані для входу, або вашу власну парольну фразу. Google як такий не має незашифрованої копії вашого пароля. Це добра практика, оскільки вона запобігає витоку згаданих паролів, спокусі зробити трохи любові і від урядів вимагати, щоб Google передав паролі. Ти не можеш тріскати те, чого не знаєш.

Якщо ви дійсно переживаєте, просто використовуйте сторонній менеджер паролів і синхронізуйте його будь-яким способом, якому ви довіряєте, або використовуйте менш поширений веб-браузер (який ці інструменти не підтримують) з головним паролем. Тим не менш, аргумент про те, що зберігання простого тексту паролем не дуже корисний у той день, коли доступне прискорене зламування пароля GPU .

— Подорожник Geek
джерело

Теоретично ні. Побачити https://support.google.com/chrome/answer/1181035 , але в основному ваші синхронізовані дані (паролі, закладки, історія тощо) шифруються перед тим, як їх надсилати на сервери Google. Для шифрування використовується або пароль вашого облікового запису Google, або окремий пароль, який ви вибрали лише з метою синхронізації. Щоб синхронізувати речі без необхідності постійно вводити цей пароль, пароль синхронізації повинен зберігатися на вашому локальному комп’ютері.

Щоб співробітник Google бачив ваші паролі (якщо припустити, що вони не мають доступу до вашої локальної машини), вони повинні знати пароль облікового запису Google або пароль синхронізації. Я припускаю, що пароль облікового запису Google зберігається у певній формі з їх боку, так що це не дозволить їм легко розшифрувати ваші синхронізовані дані.

Щоб було зрозуміло, у Chrome існує два чіткі проблеми зберігання паролів. Перший - як зберігаються паролі локально, і різні ваші посилання говорять про те, як легко переглядати ці паролі, якщо хтось може отримати доступ до вашого локального облікового запису . Інше питання - це те, що я обговорював вище, а саме про те, як паролі надсилаються на сервери Google, щоб вони могли бути доступними для багатьох установок Chrome.

— jjlin
джерело

Щоб додати відповідь jjlin: Це не означає фізичний доступ, він просто означає доступ певним чином, що дозволяє людині отримати доступ до файлу на вашому комп’ютері (наприклад, вірусу)

— Jon