Kan Google-anställda se mina sparade Google Chrome-lösenord?
Att lagra dina lösenord i din webbläsare verkar vara en bra tidsbesparare, men är lösenorden säkra och otillgängliga för andra (även anställda i webbläsarföretaget) när de äcklas bort?
Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-driven gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsare MMA är nyfiken om Google-anställda har (eller kan ha) tillgång till lösenorden som han lagrar i Google Chrome:
Jag förstår att vi verkligen är frestade att spara våra lösenord i Google Chrome. Den troliga fördelen är tvåfaldigt,
- Du behöver inte (memorera och) mata in dessa långa och kryptiska lösenord.
- Dessa är tillgängliga var du än är när du loggar in på ditt Google-konto.
Den sista punkten ledde till min tvivel. Eftersom lösenordet är tillgängligt var som helst, lagringen måste vara på en central plats, och det borde vara på Google.
Nu är min enkla fråga, kan en Google-anställd se mina lösenord?
Söka över Internet avslöjade flera artiklar / meddelanden.
- Spara du lösenord i Chrome? Kanske bör du ompröva: Talar om att dina lösenord stulits av någon som har tillgång till ditt datorkonto. Inget nämns om den centrala lagringssäkerheten och sårbarheten. Det finns även ett svar från Chrome Browser Security Tech lead om det första problemet.
- Chrome's vanliga lösenords säkerhetsstrategi: Huvudsakligen längs samma rad. Du kan stjäla lösenord från någon om du har tillgång till datorns konto.
- Så här stal du lösenord som sparats i Google Chrome i 5 enkla steg: Lär dig hur du faktiskt ska utföra spela teater nämnt i de föregående två när du har tillgång till någon annans konto.
Det finns många fler (inklusive den här på denna sajt), mestadels längs samma linje, poäng, motposter, stora debatter. Jag avstår från att nämna dem här, bara bära en sökning om du vill hitta dem.
Kommer tillbaka till min ursprungliga fråga, kan en Google-anställd se mitt lösenord? Eftersom jag kan se lösenordet med en enkel knapp, kan de definitivt vara omhändertagna (dekrypterade) även om de krypteras. Detta skiljer sig mycket från lösenorden som sparats i Unix-liknande operativsystem där det sparade lösenordet aldrig kan ses i vanlig text.
De använder en enkelriktad krypteringsalgoritm för att kryptera dina lösenord. Detta krypterade lösenord lagras sedan i passwd- eller skuggfilen. När du försöker logga in, krypteras lösenordet du skriver in igen och jämförs med posten i filen som lagrar dina lösenord. Om de matchar måste det vara samma lösenord, och du får åtkomst. Således kan en superanvändare ändra mitt lösenord, kan blockera mitt konto, men han kan aldrig se mitt lösenord.
Så är hans bekymmer välgrundade eller kommer en liten insikt att skingra hans oro?
Svaret
SuperUser-bidraggivare Zeel hjälper till med att tänka sig:
Kort svar: Nej *
Lösenorden som lagras på din lokala maskin kan dekrypteras av Chrome, så länge som ditt användarkonto är inloggat. Och så kan du visa dem i vanlig text. Först verkar det hemskt, men hur tyckte du att autofyllning fungerade? När det lösenordsfältet fylls i måste Chrome infoga det verkliga lösenordet i HTML-formuläret - annars skulle sidan inte fungera rätt, och du kunde inte skicka in formuläret. Och om anslutningen till webbplatsen inte är över HTTPS skickas den vanliga texten över Internet. Med andra ord, om krom inte kan få de vanliga textlösenorden, så är de helt värdelösa. En enstaka hash är inte bra, för vi behöver använda dem.
Nu är lösenordet faktiskt krypterade, det enda sättet att få dem tillbaka till vanlig text är att få dekrypteringsnyckeln. Den här nyckeln är ditt Googles lösenord eller en sekundär nyckel du kan ställa in. När du loggar in på Chrome och synkroniserar Google-servrarna krypterad lösenord, inställningar, bokmärken, automatisk fyllning, etc, till din lokala maskin. Här dekrypterar Chrome informationen och kan använda den.
I Googles slut lagras all den informationen i sitt inkrypterade tillstånd, och de har inte nyckeln till att dekryptera den. Ditt konto lösenord är markerat mot en hash för att logga in på Google, och även om du låter chrome komma ihåg det, är den krypterade versionen dold i samma bunt som de andra lösenorden, omöjliga att komma åt. Så en anställd kunde antagligen fånga en dumpning av krypterade data, men det skulle inte göra dem bra eftersom de inte hade någon möjlighet att använda den. *
Så nej, Google-anställda kan inte ** få åtkomst till dina lösenord, eftersom de krypteras på sina servrar.
* Glöm inte att något system som kan nås av en auktoriserad användare kan nås av en obehörig användare. Vissa system är lättare att bryta än andra, men ingen är felsäkra ... Med det sagt tror jag att jag kommer att lita på Google och de miljoner de spenderar på säkerhetssystem, över alla andra lösningar för lagring av lösenord. Och heck, jag är en wimpy nerd, det vore lättare att slå lösenorden ut ur mig än att bryta Googles kryptering.
** Jag antar också att det inte finns någon som bara händer för att Google ska få tillgång till din lokala maskin. I så fall är du knuten, men anställning hos Google är faktiskt inte en faktor längre. Moral: Hit Win + L innan du lämnar maskinen.
Medan vi håller med Zeel om att det är en ganska säker satsning (så länge din dator inte äventyras) att dina lösenord faktiskt är säkra medan de lagras i Chrome, föredrar vi att kryptera alla våra inloggningar och lösenord i ett LastPass-valv.
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.