Hjemmeside » hvordan » Kan Google-medarbejdere se mine gemte Google Chrome-adgangskoder?

    Kan Google-medarbejdere se mine gemte Google Chrome-adgangskoder?

    Lagring af dine adgangskoder i din webbrowser virker som en god tidsbesparende, men er adgangskoderne sikre og utilgængelige for andre (selv medarbejdere i browserselskabet), når de er forkælet væk?

    Dagens Spørgsmål & Svar session kommer til os med venlig hilsen af ​​SuperUser-en underafdeling af Stack Exchange, en community-driven gruppe af Q & A-websteder.

    Spørgsmålet

    SuperUser-læser MMA er nysgerrig, om Google-medarbejdere har (eller kunne have) adgang til de adgangskoder, han opbevarer i Google Chrome:

    Jeg forstår, at vi virkelig er fristet til at gemme vores adgangskoder i Google Chrome. Den sandsynlige fordel er to gange,

    • Du behøver ikke at (huske og) indtaste de lange og kryptiske adgangskoder.
    • Disse er tilgængelige, uanset hvor du er, når du logger ind på din Google-konto.

    Det sidste punkt udløste min tvivl. Da adgangskoden er tilgængelig overalt, Opbevaringen skal være på en central placering, og det skal være hos Google.

    Nu er mit enkle spørgsmål, kan en Google-medarbejder se mine adgangskoder?

    Søgning over internettet afslørede flere artikler / meddelelser.

    • Gemmer du adgangskoder i Chrome? Måske skal du genoverveje: Tal om dine adgangskoder bliver stjålet af en person, der har adgang til din computer konto. Intet om det centrale lagringssikkerhed og sårbarhed. Der er endda et svar fra Chrome Browser Security Tech lead om det første problem.
    • Chrome's vanvittige adgangskode sikkerhedsstrategi: For det meste langs samme linje. Du kan stjæle adgangskode fra nogen, hvis du har adgang til computerens konto.
    • Sådan stjæler du adgangskoder gemt i Google Chrome i 5 enkle trin: Lærer dig, hvordan du rent faktisk skal udføre handling nævnt i de foregående to, når du har adgang til en andens konto.

    Der er mange flere (inklusive denne på dette websted), for det meste langs samme linje, point, modposter, store debatter. Jeg afholder mig fra at nævne dem her, bare bære en søgning, hvis du vil finde dem.

    Når jeg kommer tilbage til mit oprindelige forespørgsel, kan en Google-medarbejder se mit kodeord? Da jeg kan se adgangskoden ved hjælp af en simpel knap, kan de helt sikkert afkrympes (dekrypteret), selvom krypteret. Dette er meget forskelligt fra de adgangskoder, der er gemt i Unix-lignende OS, hvor det gemte kodeord aldrig kan ses i almindelig tekst.

    De bruger en envejs krypteringsalgoritme til at kryptere dine adgangskoder. Denne krypterede adgangskode gemmes derefter i passwd- eller skyggefilen. Når du forsøger at logge ind, krypteres den adgangskode, du indtaster, igen og sammenlignes med posten i filen, der gemmer dine adgangskoder. Hvis de matcher, skal den være den samme adgangskode, og du får adgang. Således kan en superbruger ændre mit kodeord, kan blokere min konto, men han kan aldrig se mit kodeord.

    Så er hans bekymringer velbegrundede eller vil lidt indsigt fjerne hans bekymring?

    Svaret

    SuperUser bidragyder Zeel hjælper med at tænke sig godt:

    Kort svar: Nej *

    Passwords gemt på din lokale maskine kan dekrypteres af Chrome, så længe din OS-brugerkonto er logget ind. Og så kan du se dem i almindelig tekst. Først synes det forfærdeligt, men hvordan syntes du, at auto-fill arbejdede? Når dette adgangskodefelt bliver udfyldt, skal Chrome indsætte det rigtige kodeord i HTML-formelementet - ellers ville siden ikke fungere rigtigt, og du kunne ikke sende formularen. Og hvis forbindelsen til hjemmesiden ikke er over HTTPS, sendes den almindelige tekst over internettet. Med andre ord, hvis krom ikke kan få almindeligt tekstadgangskoder, er de helt ubrugelige. En one-way hash er ikke god, fordi vi skal bruge dem.

    Nu er adgangskoderne faktisk krypteret, og den eneste måde at få dem tilbage til almindelig tekst på er at få dekrypteringsnøglen. Denne nøgle er din Google-adgangskode eller en sekundær nøgle, du kan oprette. Når du logger ind på Chrome og synkroniserer, sender Google-serverne krypteret adgangskoder, indstillinger, bogmærker, automatisk udfyldning osv. til din lokale maskine. Her dekrypterer Chrome informationen og kan bruge den.

    I Googles ende er al den information gemt i sin encrpyted state, og de har ikke nøglen til dekryptering af den. Din kontoadgangskode er markeret mod en hash for at logge ind på Google, og selvom du lader chrome huske det, er den krypterede version gemt i samme bundle som de andre adgangskoder, der er umulige at få adgang til. Så en medarbejder kunne nok få fat i et dump af de krypterede data, men det ville ikke gøre dem noget godt, da de ikke kunne bruge det. *

    Så nej, Google-medarbejdere kan ikke ** få adgang til dine adgangskoder, da de er krypteret på deres servere.

    * Glem dog ikke, at et system, der er tilgængeligt for en autoriseret bruger, kan fås af en uautoriseret bruger. Nogle systemer er lettere at bryde end andre, men ingen er fejlsikre ... Når det er sagt, tror jeg, jeg vil stole på Google og de millioner, de bruger på sikkerhedssystemer, over enhver anden adgangskodeoplagringsløsning. Og heck, jeg er en wimpy nerd, det ville være lettere at slå adgangskoderne ud af mig end at bryde Googles kryptering.

    ** Jeg antager også, at der ikke er en person, der bare sker for at arbejde for Google at få adgang til din lokale maskine. I så fald er du skruet, men beskæftigelse hos Google er faktisk ikke en faktor mere. Moral: Hit Win + L inden du forlader maskinen.

    Selv om vi er enige med zeel om, at det er en ret sikker bet (så længe computeren ikke er i fare), at dine adgangskoder faktisk er sikre, mens de gemmes i Chrome, foretrækker vi at kryptere alle vores logins og adgangskoder i et LastPass-vault.


    Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.