Могут ли сотрудники Google видеть мои сохраненные пароли Google Chrome?

Хранение ваших паролей в вашем веб-браузере, кажется, экономит время, но являются ли они безопасными и недоступными для других (даже сотрудников компании-браузера), когда они спрятаны?

Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..

Вопрос

Читателю SuperUser MMA любопытно, имеют ли сотрудники Google (или могут иметь) доступ к паролям, которые он хранит в Google Chrome:

Я понимаю, что мы действительно хотим сохранить наши пароли в Google Chrome. Вероятная выгода в два раза,

• Вам не нужно (запоминать и) вводить эти длинные и загадочные пароли.
• Они доступны везде, где вы находитесь, когда вы входите в свою учетную запись Google.

Последний пункт вызвал мои сомнения. Так как пароль доступен в любом месте, хранилище должно находиться в каком-то центральном месте, и это должно быть в Google.

Теперь мой простой вопрос: может ли сотрудник Google увидеть мои пароли?

Поиск в интернете выявил несколько статей / сообщений.

• Вы сохраняете пароли в Chrome? Возможно, вам следует пересмотреть: Рассказывает, что ваши пароли были украдены кем-то, кто имеет доступ к вашей учетной записи компьютера. Ничего не сказано о безопасности и уязвимости центрального хранилища. Существует даже ответ от лидера службы безопасности браузера Chrome о первой проблеме.
• Безумная стратегия безопасности паролей Chrome: в основном по той же схеме. Вы можете украсть пароль у кого-то, если у вас есть доступ к учетной записи компьютера.
• Как украсть пароли, сохраненные в Google Chrome, за 5 простых шагов: научит вас акт упоминается в предыдущих двух, когда у вас есть доступ к чужой учетной записи.

Есть много других (в том числе на этот сайт), в основном по одной линии, точки, контрапункты, огромные дебаты. Я воздерживаюсь от упоминания их здесь, просто проведите поиск, если вы хотите их найти.

Возвращаясь к моему первоначальному запросу, может ли сотрудник Google увидеть мой пароль? Так как я могу просмотреть пароль с помощью простой кнопки, определенно их можно будет восстановить (расшифровать), даже если они зашифрованы. Это очень отличается от паролей, сохраненных в Unix-подобных ОС, где сохраненный пароль никогда не будет отображаться в виде простого текста..

Они используют односторонний алгоритм шифрования для шифрования ваших паролей. Этот зашифрованный пароль затем сохраняется в файле passwd или shadow. Когда вы пытаетесь войти, пароль, который вы вводите, снова зашифровывается и сравнивается с записью в файле, где хранятся ваши пароли. Если они совпадают, это должен быть тот же пароль, и вам разрешен доступ. Таким образом, суперпользователь может изменить мой пароль, может заблокировать мою учетную запись, но он никогда не увидит мой пароль.

Так ли его опасения обоснованы или немного понимания рассеять его беспокойство?

Ответ

Участник SuperUser Zeel помогает успокоиться:

Краткий ответ: нет *

Пароли, хранящиеся на вашем локальном компьютере, могут быть расшифрованы Chrome, если ваша учетная запись пользователя ОС зарегистрирована. Затем вы можете просматривать их в виде обычного текста. Сначала это кажется ужасным, но как вы думаете, как работает автозаполнение? Когда поле этого пароля заполнено, Chrome должен вставить настоящий пароль в элемент формы HTML - иначе страница не будет работать правильно, и вы не сможете отправить форму. И если соединение с веб-сайтом не осуществляется через HTTPS, простой текст затем отправляется через Интернет. Другими словами, если Chrome не может получить пароли в виде простого текста, то они абсолютно бесполезны. Односторонний хэш не годится, потому что мы должны его использовать.

Теперь пароли фактически зашифрованы, и единственный способ вернуть их в обычный текст - это получить ключ дешифрования. Этот ключ - ваш пароль Google или дополнительный ключ, который вы можете установить. При входе в Chrome и синхронизации серверы Google передают зашифрованная пароли, настройки, закладки, автозаполнение и т. д. на локальный компьютер. Здесь Chrome расшифрует информацию и сможет использовать ее.

На конец Google вся эта информация хранится в зашифрованном состоянии, и у них нет ключа для ее расшифровки. Пароль вашей учетной записи сверяется с хешем для входа в Google, и даже если вы разрешите chrome запомнить его, эта зашифрованная версия скрыта в том же пакете, что и другие пароли, доступ к которым невозможен. Таким образом, сотрудник может, вероятно, получить дамп зашифрованных данных, но это не принесет им никакой пользы, поскольку у них не будет никакого способа его использовать. *

Поэтому нет, сотрудники Google не могут ** получить доступ к вашим паролям, так как они зашифрованы на своих серверах.

* Однако не забывайте, что любой системы, к которой может получить доступ авторизованный пользователь, может быть получен неавторизованным пользователем. Некоторые системы легче взломать, чем другие, но ни одна из них не защищена от сбоев ... При этом, я думаю, я буду доверять Google и миллионам, которые они тратят на системы безопасности, по сравнению с любым другим решением для хранения паролей. И, черт возьми, я тупой ботаник, было бы легче выбить из меня пароли, чем сломать шифрование Google.

** Я также предполагаю, что нет человека, который просто работает на Google, чтобы получить доступ к вашей локальной машине. В этом случае вы облажались, но работа в Google на самом деле уже не является фактором. Мораль: Хит Win + L, прежде чем покинуть машину.

Хотя мы согласны с Zeel в том, что довольно безопасно (если ваш компьютер не взломан), что ваши пароли на самом деле безопасны при хранении в Chrome, мы предпочитаем шифровать все наши логины и пароли в хранилище LastPass.

Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.