Pohranjivanje vaših zaporki u vašem web pretražitelju čini se kao izvrsni čuvar vremena, ali jesu li lozinke sigurne i nedostupne drugima (čak i zaposlenicima tvrtke preglednika) kada se ožiljavaju?
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajednice-driven grupiranja Q & A web stranica.
SuperUser čitač MMA je znatiželjan ako Googleovi zaposlenici imaju (ili mogu imati) pristup zaporama koje pohranjuje u Google Chromeu:
Razumijem da smo doista u iskušenju spremiti naše zaporke u Google Chrome. Vjerojatna korist je dva puta,
- Ne morate (zapamtiti i unijeti) te duge i tajne lozinke.
- One su dostupne gdje god se prijavite na svoj Google račun.
Posljednja točka potaknula je moje sumnje. Budući da je lozinka dostupnabilo kuda, pohrana mora biti na nekom središnjem mjestu, a to bi trebalo biti na Googleu.
Sada, moje je jednostavno pitanje, može li Google zaposlenik vidjeti moje lozinke?
Pretraživanje preko interneta otkrilo je nekoliko članaka / poruka.
- Štedite li zaporke u Chromeu? Možda biste trebali ponovno razmotriti: razgovori o zaporki koju ukrade netko tko ima pristup računu vašeg računala. Ništa nije spomenuto o središnjoj sigurnosnoj pohrani i ranjivosti. Čak je i odgovor Chromeova sigurnosnog alata preglednika o prvom izdanju.
- Chromeova ludnica za sigurnosnu strategiju: uglavnom na istoj liniji. Možete ukrasti lozinku od nekoga ako imate pristup računalnom računu.
- Kako ukloniti zaporke spremljene u Google Chromeu u 5 jednostavnih koraka: podučava vas kako izvršitičin navedene u prethodna dva kada imate pristup računu nekog drugog.
Postoji mnogo više (uključujući ovo naova stranica), uglavnom uz istu liniju, točke, protuteži, ogromne rasprave. Ja se ne spominjem ovdje, jednostavno nosite pretragu ako ih želite pronaći.
Vrativši se u moj izvorni upit, može li Google zaposlenik vidjeti svoju lozinku? Budući da mogu pregledati lozinku jednostavnim gumbom, definitivno se mogu ukloniti (dešifrirani) čak i ako su šifrirani. To se jako razlikuje od zaporki spremljenih u operacijskim sustavima sličnim Unixu, gdje se spremljena lozinka ne može vidjeti u običnom tekstu.
Koriste jednosmjerni algoritam šifriranja za šifriranje vaših zaporki. Ova šifrirana lozinka zatim se pohranjuje u passwd ili shadow datoteci. Kada se pokušate prijaviti, zaporka koju unesete ponovno je kriptirana i uspoređena s unosom u datoteci koja pohranjuje vaše zaporke. Ako se podudaraju, ona moraju biti iste lozinke i imate pristup. Dakle, superkorisnik može promijeniti lozinku, može blokirati moj račun, ali nikada ne može vidjeti zaporku.
Znači, jesu li njegova briga dobro utemeljena ili će malo uviditi da se brine?
Zahvaljujući SuperUserovom doprinosu, Zeel pomaže u umu:
Kratak odgovor: Ne *
Chrome može dešifrirati lozinke pohranjene na vašem lokalnom računalu, sve dok je vaš korisnički račun OS prijavljen. A zatim možete vidjeti one u običnom tekstu. U početku to se čini strašnim, ali kako ste mislili da je automatsko punjenje funkcioniralo? Kada se to polje za zaporku popuni, Chrome mora unijeti pravi zaporku u element HTML obrasca - inače stranica neće raditi ispravno i ne možete poslati obrazac. A ako veza s web-mjestom ne završi s HTTPS-om, obični se tekst šalje preko interneta. Drugim riječima, ako krom ne može dobiti zaporke teksta, onda su potpuno beskorisni. Jedan način hash nije dobar, jer ih moramo koristiti.
Sada su lozinke zapravo šifrirane, jedini način da ih vratimo u običan tekst jest imati ključ za dešifriranje. Taj je ključ Googleova zaporka ili sekundarni ključ koji možete postaviti. Kada se prijavite u Chrome i sinkronizirajte, Google poslužitelji prenosekodiran lozinke, postavke, oznake, automatsko ispunjavanje itd. na vaš lokalni stroj. Ovdje Chrome će dešifrirati te informacije i moći je koristiti.
Na kraju Googlea sve te informacije pohranjene su u njegovom okruženju i nemaju ključ za dešifriranje. Lozinka vašeg računa provjerava se na Googleovoj ljestvici za prijavu, pa čak i ako dopustite kromu da je zapamti, ta je šifrirana inačica skrivena u istom paketu kao i druge lozinke, a nemoguće je pristupiti. Zato bi zaposlenik vjerojatno mogao zgrabiti deponiju šifriranih podataka, ali im to ne bi imalo dobro, jer ih ne bi mogli koristiti.
Stoga ne, Googleovi zaposlenici ne mogu ** pristupiti vašim zaporkama, jer su kriptirani na svojim poslužiteljima.
* Međutim, ne zaboravite da se neovlaštenim korisnicima može pristupiti bilo kojem sustavu kojemu je pristupili ovlašteni korisnik. Neki sustavi lakše se slomiti od ostalih, ali nitko nije dokazan na pogrešci ... To se, rekao je, mislim da ću vjerovati Googleu i milijunima koje troše na sigurnosne sustave, nad bilo kojim drugim rješenjem za pohranu lozinki. I pakao, ja sam glupan, lakše ću pobijediti lozinke od mene nego slomiti Google šifriranje.
** Pretpostavljam i da ne postoji osoba koja samo služi kako bi Google stekao pristup vašem lokalnom računalu. U tom slučaju vi ste pijan, ali zapošljavanje na Googleu više nije faktor. Moralno: Hit Win + L prije napuštanja stroja.
Dok se složimo s zeelom da je prilično sigurna oklada (ako vaše računalo nije ugroženo) da su vaše zaporke u stvari sigurne dok su pohranjene u Chromeu, preferiramo šifriranje svih naših prijava i lozinki u trezoru LastPass.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
