Могут ли сотрудники Google видеть мои пароли, сохраненные в Google Chrome?


34

Я понимаю, что мы действительно хотим сохранить наши пароли в Google Chrome. Вероятная выгода в два раза,

  • Вам не нужно (запоминать и) вводить эти длинные и загадочные пароли.
  • Они доступны везде, где бы вы ни находились, после входа в свою учетную запись Google

Последний пункт вызвал мои сомнения. Поскольку пароль доступен везде , хранилище должно находиться в каком-то центральном месте, и это должно быть в Google.

Теперь мой простой вопрос: может ли сотрудник Google увидеть мои пароли?

Поиск в Интернете выявил несколько статей / сообщений.

Есть много других (включая этот на этом сайте ), в основном по той же линии, точки, контрапункты, огромные дебаты. Я воздерживаюсь от упоминания их здесь, просто проведите поиск, если хотите их найти.

Возвращаясь к моему первоначальному запросу, может ли сотрудник Google увидеть мой пароль? Так как я могу просмотреть пароль с помощью простой кнопки, определенно их можно будет восстановить (расшифровать), даже если они зашифрованы. Это очень отличается от паролей, сохраненных в Unix-подобных ОС, где сохраненный пароль никогда не будет отображаться в виде простого текста.

Они используют односторонний алгоритм шифрования для шифрования ваших паролей. Этот зашифрованный пароль затем сохраняется в файле passwd или shadow. Когда вы пытаетесь войти, пароль, который вы вводите, снова шифруется и сравнивается с записью в файле, где хранятся ваши пароли. Если они совпадают, это должен быть тот же пароль, и вам разрешен доступ. Таким образом, суперпользователь может изменить мой пароль, может заблокировать мою учетную запись, но он никогда не увидит мой пароль.


6
Вы не можете «разархивировать» строку. Криптографические хеш-функции являются односторонними, они разработаны так, чтобы быть неосуществимыми (т. Е. Для их выполнения требуется слишком много времени к тому времени, когда вы это сделаете, это уже не имеет значения). * Nix «« алгоритм одностороннего шифрования »» является хэш-функцией.
Blacklight Shining

Спасибо, как-то я увлекся. Я хотел иметь в виду расшифровать.
Масрур

Пока эти пароли не используются для WiFi на Android, вы должны быть сохранены. Я должен сказать это, так как Google знает, что ваши пропускы WiFi используются на Android.
математике

@math Хотели бы вы уточнить это немного? Как-то не удалось полностью понять.
Масрур

Есть много новостных сайтов, занимающихся этой темой, просто используйте поисковую машину с: "Wifi пароли Google Android" сделано. Например, gizmodo.com/…
математика

Ответы:


34

Краткий ответ: нет *

Пароли, хранящиеся на вашем локальном компьютере, могут быть расшифрованы Chrome, если ваша учетная запись пользователя ОС зарегистрирована. Затем вы можете просматривать их в виде простого текста. Сначала это кажется ужасным, но как вы думаете, как работает автозаполнение? Когда это поле пароля заполнено, Chrome должен вставить реальный пароль в элемент формы HTML - иначе страница не будет работать правильно, и вы не сможете отправить форму. И если соединение с веб-сайтом не осуществляется через HTTPS, простой текст затем отправляется через Интернет. Другими словами, если chrome не может получить пароли в виде простого текста, то они абсолютно бесполезны. Односторонний хэш не годится, потому что мы должны его использовать.

Теперь пароли фактически зашифрованы, и единственный способ вернуть их в обычный текст - это получить ключ дешифрования. Этот ключ - ваш пароль Google или дополнительный ключ, который вы можете установить. Когда вы входите в Chrome и синхронизируете серверы Google передают зашифрованные пароли, настройки, закладки, автоматическое заполнение и т. Д. На локальный компьютер. Здесь Chrome расшифрует информацию и сможет ее использовать.

На конец Google вся эта информация хранится в зашифрованном состоянии, и у них нет ключа для ее расшифровки. Пароль вашей учетной записи сверяется с хешем для входа в Google, и даже если вы разрешите chrome запомнить его, эта зашифрованная версия скрыта в том же пакете, что и другие пароли, доступ к которым невозможен. Таким образом, сотрудник мог бы, вероятно, получить дамп зашифрованных данных, но это не принесло бы им никакой пользы, поскольку у них не было бы никакого способа их использовать. *

Поэтому нет, сотрудники Google не могут ** получить доступ к вашим паролям, поскольку они зашифрованы на их серверах.


* Тем не менее, не забывайте, что любая система, к которой может получить доступ авторизованный пользователь, может быть доступна неавторизованному пользователю. Некоторые системы легче сломать, чем другие, но ни одна из них не защищена от сбоев. , , При этом, я думаю, я буду доверять Google и миллионам, которые они тратят на системы безопасности, по сравнению с любым другим решением для хранения паролей. И, черт возьми, я тупой ботаник, было бы легче выбить из меня пароли, чем сломать шифрование Google.

** Я также предполагаю, что нет человека, который просто работает на Google, чтобы получить доступ к вашему локальному компьютеру. В этом случае вы облажались, но работа в Google на самом деле уже не является фактором. Мораль: Хит Win+, Lпрежде чем покинуть машину.


3
Win + L не работает для меня, так как я пользователь Linux. Но спасибо, я имею обыкновение никогда не блокировать свою машину, когда уезжаю.
Масрур

Ну, это чувство важно. И для пользователей, не являющихся пользователями Windows, я уверен, что есть простой способ создать горячую клавишу блокировки.
Zeel

6
Большинство Linux используют Ctl-Alt-L для блокировки машины. Я даже раньше использовал утилиту, которая заблокирована с помощью Bluetooth, чтобы обнаружить наличие / отсутствие моего телефона.
Дрейк Кларрис

Если мой пароль Google является ключом, используемым для расшифровки других паролей, которые Google хранит для меня, не придется ли Google запрашивать мой пароль Google каждый раз, когда они хотят автоматически заполнить один из моих других паролей? Так как они этого не делают, я думаю, что мой пароль Google не является ключевым, поскольку Google предположительно нигде не хранит мой действительный пароль Google. Так в чем же ключ?
Крис Моррис

Ваш локальный экземпляр Chrome хранит копию всех паролей. Я не специалист по тому, как именно работает эта система, и она может значительно измениться со временем. Насколько мне известно, ваш пароль Google (или другой ключ, если вы его настроили) необходимо использовать для расшифровки ваших данных при первой инициализации установки Chrome. Я предполагаю, что ваш компьютер хранит пароль или ключ для будущего использования, поэтому вам не нужно вводить его повторно, но он не хранится на сервере Google.
Zeel

13

На самом деле, довольно просто восстановить ваши пароли из большинства браузеров. Безумная статья о безопасности паролей была написана кем-то, кто использует в основном Safari и, похоже, считает, что ДОЛЖЕН быть верным путем. Это безопасность на уровне пользователя по неизвестности. Человек, который поднял проблему, является разработчиком, который в основном занимается iOS, OS X и веб-разработкой, а не разработкой безопасности, и вы можете прочитать counterarguement Google, слишком

В Windows этот инструмент от Nirsoft позволяет мне перехватывать все ваши пароли из нескольких браузеров. Если кто-то имеет физический доступ к вашей системе, уже слишком поздно.

И нет, вряд ли Google позволит своим сотрудникам видеть ваши пароли - фактическая часть синхронизации браузера зашифрована - либо с использованием ваших учетных данных для входа, либо вашей собственной парольной фразы. У Google как такового нет незашифрованной копии вашего пароля. Это хорошая практика, поскольку она предотвращает утечку указанных паролей, соблазн сделать немного позаботиться , а правительства требуют, чтобы Google передал пароли. Вы не можете обмануть то, чего не знаете.

Если вы действительно беспокоитесь, просто используйте сторонний менеджер паролей и синхронизируйте его любым способом, которому вы доверяете, или используйте менее распространенный веб-браузер (который эти инструменты не поддерживают) с мастер-паролем. Тем не менее, аргумент о том, что хранение паролей в виде простого текста не очень полезно в тот день, когда доступно ускоренное взлом пароля с помощью графического процессора .


8

Теоретически нет. См. Https://support.google.com/chrome/answer/1181035. для получения более подробной информации, но в основном ваши синхронизированные данные (пароли, закладки, история и т. Д.) Шифруются перед отправкой на серверы Google. При шифровании используется либо пароль вашей учетной записи Google, либо отдельный пароль, который вы выбираете только для синхронизации. Чтобы синхронизировать данные без необходимости постоянно вводить этот пароль, пароль синхронизации должен храниться на вашем локальном компьютере.

Чтобы сотрудники Google могли видеть ваши пароли (при условии, что они не имеют доступа к вашему локальному компьютеру), они должны знать пароль учетной записи Google или ваш пароль синхронизации. Я бы предположил, что пароль учетной записи Google хранится в какой-то хешированной форме на их стороне, чтобы они не могли легко расшифровать ваши синхронизированные данные.

Просто чтобы быть ясно, есть две разные проблемы хранения паролей, когда речь заходит о Chrome. Один из них заключается в том, как пароли хранятся локально, и ваши различные ссылки рассказывают о том, как эти пароли можно легко просмотреть, если кто-то сможет получить доступ к вашей локальной учетной записи . Другой вопрос - это то, что я обсуждал выше, а именно, как пароли отправляются на серверы Google, чтобы они могли быть доступны в нескольких установках Chrome.


1
Чтобы добавить к ответу jjlin: это не означает физический доступ, это просто означает доступ каким-либо образом, который позволяет человеку получить доступ к файлу на вашем компьютере (например, вирусу)
Jon
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.