Я використовую Chrome та Chrome Sync; чи має Google доступ до моїх паролів?

33

Я вже багато років користуюся Chrome (і Chrome Sync). Чи означає це, що Google, власник Chrome, знає всі мої паролі?

Я запитую, тому що я зрозумів, що Google є власником Chrome, а також, що це браузер із закритим вихідним кодом, а це означає, що може бути якийсь задній пристрій, який дозволяє браузеру збирати мої паролі.

Також, чи це той самий випадок з Firefox?

google-chrome  security  passwords  privacy 
Селін Пек
джерело
Ви не вказали, входите ви у свій браузер чи ні. Якщо ви не входите в Chrome, будь-які налаштування, паролі тощо тощо просто зберігаються локально, а не в хмарі.
ernie
5
@ernie він використовує Sync, тому це не все локально
Тім С.
4
Google все знає. Якщо Google не в змозі знайти щось, то цього не існує ..;)
Sp0T

Відповіді:

42

Коротка відповідь, так. Якщо синхронізацію ввімкнено, і ви вирішите зберегти пароль, цей пароль буде надісланий на сервери Google. Однак, дані шифруються, і доступ до них обмежений.

За замовчуванням Google шифрує ваші синхронізовані дані за допомогою даних облікового запису . Google вказує, що ці дані не можуть бути розшифровані без знання вашого пароля, і що насправді, коли ваші облікові дані змінюються, всі синхронізовані дані повинні бути видалені зі своїх систем, а потім можуть бути повторно синхронізовані з ваших пристроїв (і в процесі повторно зашифровані вашими новими обліковими записами).

Отже, якщо все працює належним чином, самій Google можна довіряти, а інфраструктура Google достатньо захищена, щоб уникнути зацікавлених третіх осіб (читайте АНБ, злочинних хакерів тощо), то ваші дані будуть у безпеці. Однак, Google все ще має можливість розшифрувати ваші дані, хоча вони цього не роблять відомими. Це просто результат того, що вони є учасниками створення ключа шифру (ваших облікових даних), залишаючи їх у змозі зберегти та потенційно неправильно використовувати ключі.

Цей рівень довіри є більшим, ніж я хотів би їм довірити, тому в цій ситуації я б вирішив не зберігати паролі та не синхронізувати дані до своїх служб, але це лише мої переваги. Тільки дурень довіряє всім, але тільки більший дурень нікому не довіряє.

Френк Томас
джерело
11
Варто згадати, що на пов’язаній сторінці написано: "Або ви можете зашифрувати всі синхронізовані дані за допомогою парольної фрази для синхронізації. Ця парольна фраза синхронізації зберігається на вашому комп'ютері і не надсилається в Google".
і31415
2
@FrankThomas: Я не розумію. Ви можете вибрати свою власну парольну фразу під час синхронізації даних. Це означає, що Google не знає парольну фразу, а тому не може розшифрувати дані ... чи не так?
Мехрдад
4
Використання Google Chrome для будь-яких даних, які можуть зацікавити АНБ, є жахливою помилкою.
ДжонатанРез підтримує Моніку
5
Так, якщо ви шифруєте всі синхронізовані дані, google заявляє, що операція відбувається повністю на стороні клієнта, і в цьому випадку вони не зможуть легко зробити ключ. Це робить його більш безпечним, але не безпечним, як наслідок. Ми не маємо поняття, який шифр використовується, чи підтримують хеш пароля, чи ваш ключ єдиний і т. Д. Закон США насправді не дозволяє сервісу зберігати зашифровані дані, до яких вони самі не можуть отримати доступ у відповідь на законний запит на перехоплення.
Френк Томас
1
@FrankThomas, який закон це? Я подумав, що правило полягає в тому, що якщо я маю технічну можливість отримати доступ до їх простого тексту, то я повинен дотримуватися, але зберігання зашифрованих крапок, які я не можу розшифрувати, ні в якому разі не є незаконним.
тридцять тридцятиріччя
22

Це залежить від параметрів шифрування .

  • Шифруйте синхронізовані паролі за допомогою облікових даних Google: це параметр за замовчуванням. Ваші збережені паролі зашифровані на серверах Google і захищені даними вашого облікового запису Google.

Завдяки цій опції Google має доступ до ваших даних.

  • Зашифруйте всі синхронізовані дані за допомогою власної парольної фрази для синхронізації. Виберіть це, якщо ви хочете зашифрувати всі дані, які ви вибрали для синхронізації. Ви можете надати власну парольну фразу, яка зберігатиметься лише на вашому комп’ютері.

Завдяки цій опції Google не має доступу до ваших даних, припускаючи , що вони чесні щодо того, що відбувається з вашою парольною фразою (що станеться, якщо ви забудете свою парольну фразу, зрозуміло, що вони не зберігають її на вашу користь), не майте якийсь зяючий отвір (або заднім куточком) у їхній синхронізованій безпеці, і ваша парольна фраза досить безпечна, щоб протистояти грубій спробі Google (такий пароль можливий, але дуже нетиповий).

Ви можете зменшити можливість Google перехоплювати ваші паролі, використовуючи офлайн-менеджер паролів, наприклад KeePass, спільно з Chrome як браузер. Ви можете повністю видалити таку можливість, більше не використовуючи продукти Google (що робити, якщо вони дійсно вбудовані в кейлоггер із Google Drive або Chrome? навіть якщо ваші паролі неможливі).

За допомогою Firefox безпека ваших даних залежить від того, наскільки захищений пароль вашого облікового запису Firefox. Якщо ви вибрали хороший пароль, Mozilla чи хтось може не мати доступу до ваших паролів. Однак це робить припущення, що Mozilla чесно ставиться до того, як працює система, і в їхній безпеці немає жодної щілини (або заднього кута). Ви можете додати додаткову міру безпеки, запустивши власний приватний сервер синхронізації замість Mozilla. Оскільки Firefox є відкритим кодом і Mozilla має кращі результати щодо конфіденційності, ніж Google , то ймовірність того, що вони намагаються скомпрометувати ваші дані, здається набагато нижчою.

Вибирайте рівень параної, як вам подобається, і виходячи з ваших потреб. Я б нічого не використовував Google для потреб рівня Snowden, але для звичайних потреб у конфіденційності я хотів би пройти мінімальну фразу в Google Sync (щоб зловмисник, який звертався до вашого облікового запису Google, мав ще один шар, який він повинен пройти, перш ніж він має ваші паролі).

Також зауважте, що все це виходить із вікна, якщо комусь вдасться встановити кейлоггер (можливо доповнений скребком екрана та рекордером клацань миші для боротьби з екранними клавіатурами) на вашому ПК.

Тім С.
джерело
1

Ваша параноїя цілком виправдана. Так, Google може отримати доступ до ваших паролів. Це навіть справедливо, якщо ви визначили власну парольну фразу, якщо тільки ця парольна фраза є справді випадковою, а не типовим паролем, обраним людиною. Причина полягає в тому, що підхід, який використовується Chrome для перетворення цієї парольної фрази в ключ шифрування (PBKDF2-HMAC-SHA1 буде 1003 ітерацій), є смішно простим для грубої сили. Це не забирає ресурсів Google, кожен бажаючий інвестувати менше 1000 доларів у відеокарту може вгадати більшість паролів протягом кількох днів. Поточна реалізація навіть не може встановити змінну сіль, що дозволяє вгадувати парольні фрази для всіх облікових записів паралельно.

Поточна реалізація Firefox Sync значно краща. Кожен, хто лише отримує доступ до даних на сервері, не зможе зробити багато з цим, захист є надійним. Клієнтський компонент цього захисту в даний час є недостатньо оптимальним (PBKDF2-HMAC-SHA256 з 1000 ітераціями), тому кожен, хто може перехопити хеш пароля під час його надсилання на сервер, зможе відгадати ваш пароль порівняно мало зусиль.

Додаткова інформація:

Володимир Палант
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.