Могут ли сотрудники Google видеть мои пароли, сохраненные в Google Chrome?

Question

Я понимаю, что мы действительно хотим сохранить наши пароли в Google Chrome. Вероятная выгода в два раза,

• Вам не нужно (запоминать и) вводить эти длинные и загадочные пароли.
• Они доступны везде, где бы вы ни находились, после входа в свою учетную запись Google.

Последний пункт вызвал мои сомнения. Поскольку пароль доступен везде, хранилище должно находиться в каком-то центральном месте, и это должно быть в Google.

Теперь мой простой вопрос: может ли сотрудник Google увидеть мои пароли?

Поиск в Интернете выявил несколько статей / сообщений.

• Вы сохраняете пароли в Chrome? Возможно, вам следует пересмотреть: Рассказывает, что ваши пароли были украдены кем-то, кто имеет доступ к вашей учетной записи компьютера. Ничего не сказано о безопасности и уязвимости центрального хранилища. По поводу первой проблемы есть даже ответ от ведущего специалиста по безопасности браузера Chrome.
• Безумная стратегия безопасности паролей Chrome: в основном по той же схеме. Вы можете украсть пароль у кого-то, если у вас есть доступ к учетной записи компьютера.
• Как украсть пароли, сохраненные в Google Chrome, за 5 простых шагов: научит вас, как на самом деле выполнить действие, упомянутое в предыдущих двух, когда у вас есть доступ к чужой учетной записи.

Есть много других (включая этот на этом сайте), в основном по той же линии, точки, контрапункты, огромные дебаты. Я воздерживаюсь от упоминания их здесь, просто проведите поиск, если хотите их найти.

Возвращаясь к моему первоначальному запросу, может ли сотрудник Google увидеть мой пароль? Так как я могу просмотреть пароль с помощью простой кнопки, определенно их можно будет восстановить (расшифровать), даже если они зашифрованы. Это очень отличается от паролей, сохраненных в Unix-подобных ОС, где сохраненный пароль никогда не будет отображаться в виде простого текста.

Они используют односторонний алгоритм шифрования для шифрования ваших паролей. Этот зашифрованный пароль затем сохраняется в файле passwd или shadow. Когда вы пытаетесь войти, пароль, который вы вводите, снова зашифровывается и сравнивается с записью в файле, где хранятся ваши пароли. Если они совпадают, это должен быть тот же пароль, и вам разрешен доступ. Таким образом, суперпользователь может изменить мой пароль, может заблокировать мою учетную запись, но он никогда не увидит мой пароль.

Answer 1

Краткий ответ: нет ^*

Chrome может расшифровывать пароли, хранящиеся на вашем локальном компьютере, при условии, что ваша учетная запись пользователя ОС зарегистрирована. И тогда вы можете просмотреть их в виде обычного текста. Сначала это кажется ужасным, но как вы думаете, как работает автозаполнение? Когда поле этого пароля заполнено, Chrome должен вставить настоящий пароль в элемент формы HTML - иначе страница не будет работать правильно, и вы не сможете отправить форму. И если соединение с веб-сайтом не осуществляется через HTTPS, простой текст затем отправляется через Интернет. Другими словами, если Chrome не может получить пароли в виде простого текста, то они абсолютно бесполезны. Односторонний хэш не годится, потому что мы должны его использовать.

Теперь пароли фактически зашифрованы, и единственный способ вернуть их в обычный текст - это получить ключ дешифрования. Этот ключ - ваш пароль Google или дополнительный ключ, который вы можете установить. Когда вы входите в Chrome и синхронизируете серверы Google передают зашифрованные пароли, настройки, закладки, автоматическое заполнение и т.д. На локальный компьютер. Здесь Chrome расшифрует информацию и сможет ее использовать.

На конец Google вся эта информация хранится в зашифрованном состоянии, и у них нет ключа для ее расшифровки. Пароль вашей учетной записи сверяется с хешем для входа в Google, и даже если вы разрешите chrome запомнить его, эта зашифрованная версия скрыта в том же пакете, что и другие пароли, доступ к которым невозможен. Таким образом, сотрудник, возможно, мог бы получить дамп зашифрованных данных, но это не принесло бы им никакой пользы, поскольку у них не было бы никакого способа его использовать.^*

Поэтому нет, сотрудники Google не могут ^** получить доступ к вашим паролям, так как они зашифрованы на их серверах.

---

^{* Однако не забывайте, что любой системы, к которой может получить доступ авторизованный пользователь, может быть получен неавторизованным пользователем. Некоторые системы легче сломать, чем другие, но ни одна из них не защищена от сбоев. , , При этом, я думаю, я буду доверять Google и миллионам, которые они тратят на системы безопасности, по сравнению с любым другим решением для хранения паролей. И, черт возьми, я тупой ботаник, было бы легче выбить из меня пароли, чем сломать шифрование Google.}

^{** Я также предполагаю, что нет человека, который просто работает на Google, чтобы получить доступ к вашей локальной машине. В этом случае вы облажались, но работа в Google на самом деле уже не является фактором. Мораль: Хит Win + L, прежде чем покинуть машину.}

Answer 2

На самом деле, довольно просто восстановить ваши пароли из большинства браузеров. Безумная статья о безопасности паролей была написана кем-то, кто использует в основном Safari и, похоже, считает, что ДОЛЖЕН быть верным путем. Это безопасность на уровне пользователя по неизвестности. Человек, который поднял проблему, является разработчиком, который в основном занимается iOS, OS X и веб-разработкой, а не разработкой безопасности, и вы можете также прочитать контраргумент Google

В Windows этот инструмент от Nirsoft позволяет мне перехватывать все ваши пароли из нескольких браузеров. Если кто-то имеет физический доступ к вашей системе, уже слишком поздно.

И нет, вряд ли Google позволит своим сотрудникам видеть ваши пароли - фактическая часть синхронизации браузера зашифрована - либо с использованием ваших учетных данных для входа, либо вашей собственной парольной фразы. У Google как такового нет незашифрованной копии вашего пароля. Это хорошая практика, поскольку она предотвращает утечку указанных паролей, соблазн немного позаботиться, а правительства требуют, чтобы Google передал пароли. Вы не можете обманывать то, чего не знаете.

Если вы действительно беспокоитесь, просто используйте сторонний менеджер паролей и синхронизируйте его любым способом, которому вы доверяете, или используйте менее распространенный веб-браузер (который не поддерживается этими инструментами) с мастер-паролем. Тем не менее, аргумент о том, что хранение паролей в виде простого текста не очень полезно в тот день, когда доступно ускоренное взлом пароля с помощью графического процессора .

Answer 3

Теоретически нет. См. Https://support.google.com/chrome/answer/1181035 для получения дополнительной информации, но в основном ваши синхронизированные данные (пароли, закладки, история и т.д.) Шифруются перед отправкой на серверы Google. При шифровании используется пароль вашей учетной записи Google или отдельный пароль, который вы выбираете только для синхронизации. Чтобы все синхронизировалось без необходимости постоянно вводить этот пароль, пароль синхронизации должен храниться на вашем локальном компьютере.

Чтобы сотрудники Google могли видеть ваши пароли (при условии, что они не имеют доступа к вашему локальному компьютеру), они должны знать пароль учетной записи Google или ваш пароль синхронизации. Я бы предположил, что пароль учетной записи Google хранится в какой-то хешированной форме на их стороне, чтобы они не могли легко расшифровать ваши синхронизированные данные.

Просто чтобы прояснить, есть две разные проблемы хранения паролей, когда речь заходит о Chrome. Один из них заключается в том, как пароли хранятся локально, и ваши различные ссылки рассказывают о том, как эти пароли можно легко просмотреть, если кто-то сможет получить доступ к вашей локальной учетной записи. Другой вопрос - это то, что я обсуждал выше, а именно, как пароли отправляются на серверы Google, чтобы они могли быть доступны в нескольких установках Chrome.