Могу ли Гоогле запослени видјети моје спремљене лозинке за Гоогле Цхроме?
Чување ваших лозинки у вашем веб претраживачу изгледа као велика уштеда времена, али јесу ли лозинке сигурне и неприступачне другима (чак и запосленима у претраживачкој компанији) када се одвајају?
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подјела Стацк Екцханге-а, груписане од стране заједнице веб-локација за питања и одговоре.
Питање
Читач СуперУсер ММА је знатижељан ако Гоогле запосленици имају (или могу имати) приступ лозинкама које складиште у Гоогле Цхроме-у:
Схватам да смо заиста у искушењу да сачувамо наше лозинке у Гоогле Цхроме-у. Вероватна корист је двострука,
- Не морате (запамтити и) уносити те дуге и криптичне лозинке.
- Оне су доступне где год се налазите када се пријавите на Гоогле налог.
Последња тачка изазвала је моју сумњу. Пошто је лозинка доступна било где, складиште мора бити на некој централној локацији, а то би требало бити на Гоогле-у.
Моје једноставно питање је да ли Гоогле запосленик може видјети моје лозинке?
Претраживањем преко интернета откривено је неколико чланака / порука.
- Да ли чувате лозинке у Цхроме-у? Можда би требало да размислите: разговори о украденим лозинкама од стране некога ко има приступ вашем рачуну. Ништа се не спомиње о сигурности и рањивости централне меморије. Постоји чак и одговор од безбедносних технологија Цхроме претраживача о првом питању.
- Цхромеова луда безбедносна стратегија: Углавном дуж исте линије. Можете украсти лозинку од некога ако имате приступ рачуну рачунара.
- Како украсти лозинке сачуване у Гоогле Цхроме-у у 5 једноставних корака: Научит ће вас како се заправо изводи ацт споменута у претходна два када имате приступ туђем рачуну.
Има их много више (укључујући и ову на Овај сајт), углавном дуж исте линије, тачке, контрапункт, велике дебате. Уздржавам се да их овдје не спомињем, једноставно обавите претрагу ако желите да их пронађете.
Да се вратим на мој оригинални упит, може ли Гоогле запосленик видјети моју лозинку? Пошто могу да видим лозинку помоћу једноставног дугмета, дефинитивно могу да се дешифрују (дешифрују) чак и ако су шифровани. Ово се веома разликује од лозинки које су сачуване у оперативним системима сличним Унику, где сачувана лозинка никада не може да се види у обичном тексту.
Они користе алгоритам за енкрипцију у једном правцу за шифровање ваших лозинки. Ова шифрована лозинка се затим чува у датотеци пассвд или схадов. Када покушате да се пријавите, лозинка коју уносите поново је шифрована и упоређена са уносом у датотеци која чува ваше лозинке. Ако се подударају, мора да буде иста лозинка и дозвољен вам је приступ. Дакле, суперкорисник може да промени моју лозинку, може да блокира мој налог, али он никада не може да види моју лозинку.
Тако су његове бриге добро утемељене или ће мало увида одбацити његову забринутост?
Одговор
Доприносник СуперУсер-а Зеел помаже да се смири:
Кратак одговор: Не *
Лозинке ускладиштене на локалном рачунару могу да дешифрују Цхроме, све док се ваш кориснички налог ОС-а пријављује. А онда можете да их видите у обичном тексту. Испрва ово изгледа страшно, али како сте мислили да је аутоматско попуњавање радило? Када попуните ово поље за лозинку, Цхроме мора да унесе праву лозинку у елемент ХТМЛ обрасца - иначе страница не би исправно функционисала и нисте могли да пошаљете образац. Ако веза са веб сајтом није преко ХТТПС-а, обичан текст се шаље преко интернета. Другим речима, ако хром не може добити обичне текстуалне лозинке, онда су потпуно бескорисне. Једносмерно хасх није добро, јер морамо да их користимо.
Сада су шифре шифроване, једини начин да их вратите на обичан текст је да имате кључ за дешифровање. Тај кључ је ваша Гоогле лозинка или секундарни кључ који можете поставити. Када се пријавите у Цхроме и синхронизујете, Гоогле сервери ће пренети енцриптед лозинке, поставке, књижне ознаке, аутоматско попуњавање, итд. Овде Цхроме дешифрује информације и може да их користи.
На Гооглеовом крају све те информације се чувају у његовом енцрпитед стању, и немају кључ за дешифровање. Лозинка вашег налога се проверава у односу на хасх да бисте се пријавили на Гоогле, а чак и ако дозволите да се хром запамти, шифрована верзија је сакривена у истом пакету као и друге лозинке, које је немогуће приступити. Према томе, запослени би вероватно могао да узме депонију шифрованих података, али не би им помогао, јер не би имали начина да га користе. *
Дакле, не, Гоогле запосленици не могу ** приступити вашим лозинкама, јер су шифрирани на њиховим серверима.
* Међутим, немојте заборавити да било који систем којем може приступити овлашћени корисник може да приступи неовлашћеном кориснику. Неки системи су лакше ломити него други, али ни један није отпоран на кварове ... Ипак, мислим да ћу веровати Гооглеу и милионима које троше на безбедносне системе, над било којим другим решењем за складиштење лозинки. И хецк, ја сам слаби глупан, било би ми лакше да пребијем лозинке од мене него да сломим Гооглеову енкрипцију.
** Претпостављам да не постоји особа која управо служи за Гоогле и добија приступ вашем локалном рачуналу. У том случају сте сјебани, али запослење у Гоогле-у више није фактор. Морал: Притисните Вин + Л пре него што изађете из машине.
Иако се слажемо са жељом да је то прилично сигурна опклада (све док ваш рачунар није угрожен) да су ваше лозинке заиста сигурне док се чувају у Цхромеу, ми радије шифрујемо све своје пријаве и лозинке у ЛастПасс трезору.
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.