Я использую Chrome (и Chrome Sync) уже много лет. Означает ли это, что Google, владелец Chrome, знает все мои пароли?
Я спрашиваю, потому что я понял, что Google владеет Chrome, а также это браузер с закрытым исходным кодом, что означает, что может быть какой-то бэкдор, который позволяет браузеру собирать мои пароли.
Кроме того, это то же самое с Firefox?
Короткий ответ, да. Если синхронизация включена и вы решили сохранить пароль, этот пароль будет отправлен на серверы Google. При этом данные зашифрованы, и доступ к ним ограничен.
По умолчанию Google шифрует ваши синхронизированные данные, используя ваши учетные данные. Google указывает, что эти данные не могут быть расшифрованы без знания вашего пароля, и что на самом деле, когда ваши учетные данные изменяются, все синхронизированные данные должны быть удалены из их систем, а затем могут быть повторно синхронизированы с ваших устройств (и в процессе повторно зашифрованы с вашими новыми учетными данными).
Таким образом, если все работает правильно, самим Google можно доверять, а инфраструктура Google достаточно безопасна, чтобы не допустить заинтересованных сторон (читайте АНБ, криминальных хакеров и т.д.), Тогда ваши данные в безопасности. Тем не менее, у Google все еще есть возможность расшифровать ваши данные, хотя они не сообщают об этом. Это просто результат их участия в создании ключа шифрования (ваших учетных данных), что дает им возможность сохранять и потенциально злоупотреблять ключами.
Этот уровень доверия больше, чем я хотел бы им вложить, поэтому в этой ситуации я бы предпочел не сохранять пароли или синхронизировать данные с их сервисами, но это только мои предпочтения. Только дурак доверяет всем, но только больший дурак никому не доверяет.
Это зависит от ваших настроек шифрования.
- Шифровать синхронизированные пароли с вашими учетными данными Google: это опция по умолчанию. Ваши сохраненные пароли зашифрованы на серверах Google и защищены вашими учетными данными Google.
Благодаря этой опции Google получает доступ к вашим данным.
- Зашифровать все синхронизированные данные с помощью своей собственной фразы-пароля для синхронизации: выберите эту опцию, если вы хотите зашифровать все данные, которые вы выбрали для синхронизации. Вы можете предоставить свою собственную фразу-пароль, которая будет храниться только на вашем компьютере.
С этой опцией у Google нет доступа к вашим данным, если они честно говорят о том, что происходит с вашей парольной фразой (что произойдет, если вы забудете свою парольную фразу, дайте понять, что они не хранят ее в вашу пользу), не имеют какая-то зияющая дыра (или бэкдор) в их безопасности синхронизации, и ваша фраза-пароль достаточно безопасна, чтобы противостоять попытке грубого взлома Google (такой пароль возможен, но очень нетипичен).
Вы можете уменьшить возможность перехвата ваших паролей Google, используя автономный менеджер паролей, такой как KeePass, в сочетании с Chrome в качестве браузера. Вы можете полностью исключить эту возможность, больше не используя продукты Google (что, если они действительно связали кейлоггер с Google Drive или Chrome? А в Gmail запросы на сброс пароля могут быть перехвачены тем или иным способом, что может привести к тому, что Google получит доступ к вашим учетным записям, даже если ваши пароли не будут взломаны).
С Firefox безопасность ваших данных зависит от того, насколько безопасен пароль вашей учетной записи Firefox. Если вы выберете надежный пароль, Mozilla или кто-либо другой не сможет получить доступ к вашим паролям. Тем не менее, это делает предположение, что Mozilla честно говорит о том, как работает система, и в их безопасности нет дыры (или бэкдора). Вы можете добавить дополнительную меру безопасности, запустив свой собственный сервер синхронизации вместо использования Mozilla. Поскольку Firefox имеет открытый исходный код и Mozilla имеет лучший послужной список в отношении конфиденциальности, чем Google , вероятность того, что они попытаются скомпрометировать ваши данные, кажется намного ниже.
Выберите свой уровень паранойи, как вам нравится, и исходя из ваших потребностей. Я бы не стал использовать Google для нужд уровня Snowden, но для обычных целей конфиденциальности я бы использовал как минимум парольную фразу в Google Sync (чтобы у злоумышленника, обращающегося к вашей учетной записи Google, был еще один уровень, через который он мог бы пройти, прежде чем он есть ваши пароли).
Кроме того, обратите внимание, что все это выходит за рамки, если кому-то удастся установить кейлоггер (может быть дополнен скребком экрана и регистратором щелчков мыши для борьбы с экранными клавиатурами) на вашем ПК.
Ваша паранойя вполне оправдана. Да, Google может получить доступ к вашим паролям. Это даже верно, если вы определили пользовательскую фразу-пароль, если она не является действительно случайной, а не типичным выбранным человеком паролем. Причина в том, что подход, используемый Chrome для преобразования этой ключевой фразы в ключ шифрования (PBKDF2-HMAC-SHA1 будет 1003 итерации), смехотворно прост в использовании. Это не требует ресурсов Google, любой, кто хочет инвестировать менее 1000 долларов в видеокарту, может угадать большинство паролей в течение нескольких дней. Текущая реализация даже не может установить переменную соль, которая позволяет угадывать пароли для всех учетных записей параллельно.
Текущая реализация Firefox Sync значительно лучше. Любой, кто просто получит доступ к данным на сервере, не сможет ничего с этим поделать, защита нормальная. Однако клиентский компонент этой защиты в настоящее время неоптимален (PBKDF2-HMAC-SHA256 с 1000 итерациями), поэтому любой, кто сможет перехватить хэш пароля при его отправке на сервер, сможет угадать ваш пароль с помощью сравнительно мало усилий
Дополнительная информация:
