Näkevätkö Googlen työntekijät tallennetut Google Chrome -salasanani?

can-google-employees-see-my-saved-google-chrome-passwords kuva 1

Salasanojen tallentaminen verkkoselaimeen näyttää suurelta ajansäästäjältä, mutta ovatko salasanat turvallisia ja muiden (edes selainyrityksen työntekijöiden) ulottumattomissa, kun ne viedään pois?

Tämän päivän Question & Answer -istunto saapuu meille SuperUserin, Stack Exchangen, yhteisövetoisen Q&A-verkkosivustojen ryhmän, ansiosta.



Kysymys

SuperUser-lukija MMA on utelias, onko Googlen työntekijöillä (tai voisiko heillä olla) pääsy salasanoihin, joita hän tallentaa Google Chromeen:

Ymmärrän, että meillä on todella houkutus tallentaa salasanamme Google Chromeen. Todennäköinen hyöty on kaksinkertainen,

  • Sinun ei tarvitse (muistaa ja) syöttää pitkiä ja salaperäisiä salasanoja.
  • Nämä ovat käytettävissä missä tahansa, kun kirjaudut Google-tilillesi.

Viimeinen kohta herätti epäilykseni. Koska salasana on saatavilla missä tahansa, tallennustilan on oltava jossain keskeisessä paikassa, ja tämän pitäisi olla Googlessa.

Nyt yksinkertainen kysymykseni on, voiko Googlen työntekijä nähdä salasanani?

Internetistä etsiminen paljasti useita artikkeleita/viestejä.

  • Tallennatko salasanat Chromeen? Ehkä sinun pitäisi harkita uudelleen: Puhuu siitä, että joku, jolla on pääsy tietokoneesi tilille, varastaa salasanasi. Keskitallennusturvasta ja haavoittuvuudesta ei mainita mitään. Ensimmäisestä ongelmasta on jopa saatu vastaus Chrome-selaimen tietoturvatekniikasta.
  • Chromen hullu salasanasuojausstrategia: Pääosin samalla linjalla. Voit varastaa salasanan joltakin, jos sinulla on pääsy tietokoneeseen.
  • Kuinka varastaa Google Chromeen tallennettuja salasanoja 5 yksinkertaisessa vaiheessa: Opettaa sinua suorittamaan kahdessa edellisessä mainitun toiminnon, kun sinulla on pääsy jonkun muun tilille.

On monia muita (mukaan lukien tämä tällä sivustolla), enimmäkseen samalla linjalla, kohtia, vastakohtia, valtavia keskusteluja. En mainitse niitä täällä, vaan suorita haku, jos haluat löytää ne.

Palatakseni alkuperäiseen kysymykseeni, voiko Googlen työntekijä nähdä salasanani? Koska voin tarkastella salasanaa yksinkertaisella painikkeella, ne voidaan ehdottomasti poistaa (purkaa salaus), vaikka ne olisivat salattuja. Tämä eroaa suuresti Unix-tyyppisissä käyttöjärjestelmissä tallennetuista salasanoista, joissa tallennettua salasanaa ei koskaan voi nähdä pelkkänä tekstinä.

He käyttävät yksisuuntaista salausalgoritmia salasanojasi salaamiseen. Tämä salattu salasana tallennetaan sitten passwd- tai shadow-tiedostoon. Kun yrität kirjautua sisään, kirjoittamasi salasana salataan uudelleen ja sitä verrataan salasanasi tallentavan tiedoston merkintään. Jos ne täsmäävät, sen on oltava sama salasana, ja sinulla on pääsy. Siten pääkäyttäjä voi vaihtaa salasanani, voi estää tilini, mutta hän ei koskaan näe salasanaani.

Joten ovatko hänen huolensa perusteltuja vai hälventääkö pieni näkemys hänen huolensa?

Vastaus

SuperUser-avustaja Zeel auttaa rauhoittamaan mieltään:

Lyhyt vastaus: ei*

Chrome voi purkaa paikalliseen koneellesi tallennettujen salasanojen salauksen, kunhan käyttöjärjestelmän käyttäjätilisi on kirjautunut sisään. Sitten voit tarkastella niitä pelkkänä tekstinä. Aluksi tämä näyttää kamalalta, mutta kuinka arvelit automaattisen täytön toimivan? Kun salasanakenttä täytetään, Chromen on lisättävä oikea salasana HTML-lomakeelementtiin – muuten sivu ei toimi oikein, etkä voinut lähettää lomaketta. Ja jos yhteys verkkosivustoon ei ole HTTPS:n kautta, pelkkä teksti lähetetään sitten Internetin kautta. Toisin sanoen, jos kromi ei pysty saamaan pelkkää tekstiä olevia salasanoja, ne ovat täysin hyödyttömiä. Yksisuuntainen hash ei ole hyvä, koska meidän on käytettävä niitä.

Nyt salasanat ovat itse asiassa salattuja, ainoa tapa saada ne takaisin pelkkäksi tekstiksi on salauksen purkuavain. Tämä avain on Google-salasanasi tai toissijainen avain, jonka voit määrittää. Kun kirjaudut Chromeen ja synkronoit, Googlen palvelimet lähettävät salatut salasanat, asetukset, kirjanmerkit, automaattisen täytön jne. paikalliselle koneellesi. Täällä Chrome purkaa tietojen salauksen ja voi käyttää niitä.

Googlen lopussa kaikki tiedot tallennetaan salatussa tilassa, eikä heillä ole avainta salauksen purkamiseen. Tilisi salasana tarkistetaan tiivistettä vastaan ​​kirjautuaksesi Googleen, ja vaikka antaisit Chromen muistaa sen, salattu versio on piilotettu samaan nippuun muiden salasanojen kanssa, eikä siihen pääse käsiksi. Joten työntekijä voisi luultavasti napata salattua dataa, mutta se ei tekisi hänelle mitään hyötyä, koska heillä ei olisi mitään keinoa käyttää sitä.*

Joten ei, Googlen työntekijät eivät voi** käyttää salasanojasi, koska ne on salattu heidän palvelimillaan.

* Älä kuitenkaan unohda, että luvaton käyttäjä voi käyttää kaikkia järjestelmiä, joihin valtuutettu käyttäjä voi päästä. Jotkin järjestelmät ovat helpompia rikkoa kuin toiset, mutta mikään ei ole varma. . . Luulen kuitenkin luottavani Googleen ja heidän turvajärjestelmiin kuluttamiinsa miljooniin muihin salasanojen tallennusratkaisuihin verrattuna. Ja hitto, olen nörtti, olisi helpompi lyödä salasanat pois minulta kuin rikkoa Googlen salaus.

** Oletan myös, että kukaan, joka vain sattuu työskentelemään Googlelle, ei pääse käyttämään paikallista konettasi. Siinä tapauksessa olet kusessa, mutta Googlen työllisyys ei itse asiassa ole enää tekijä. Moraali: Paina Win + L ennen kuin poistut koneelta.

Vaikka olemmekin zeelin kanssa samaa mieltä siitä, että on melko turvallista (kunhan tietokoneesi ei vaarannu), että salasanasi ovat itse asiassa turvassa, kun ne tallennetaan Chromeen, mieluummin salaamme kaikki kirjautumistunnuksemme ja salasanamme LastPass-holvissa.