Kunnen werknemers van Google mijn opgeslagen Google Chrome-wachtwoorden bekijken?
Het opslaan van uw wachtwoorden in uw webbrowser lijkt een geweldige tijdsbesparing, maar zijn de wachtwoorden veilig en ontoegankelijk voor anderen (zelfs werknemers van het browserbedrijf) wanneer ze worden weggejaagd?
De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een gemeenschapsgedreven groep van Q & A-websites.
De vraag
SuperUser-lezer MMA is benieuwd of Google-werknemers toegang hebben (of kunnen hebben) tot de wachtwoorden die hij in Google Chrome opslaat:
Ik begrijp dat we echt in de verleiding komen om onze wachtwoorden in Google Chrome op te slaan. Het waarschijnlijke voordeel is tweeledig,
- U hoeft deze lange en cryptische wachtwoorden niet (onthouden en) in te voeren.
- Deze zijn overal beschikbaar waar u bent wanneer u zich aanmeldt bij uw Google-account.
Het laatste punt leidde tot mijn twijfel. Omdat het wachtwoord beschikbaar is overal, de opslag moet op een centrale locatie plaatsvinden en dit moet bij Google zijn.
Mijn eenvoudige vraag is nu: kan een medewerker van Google mijn wachtwoorden zien??
Zoeken via internet onthulde verschillende artikelen / berichten.
- Bewaar je wachtwoorden in Chrome? Misschien moet u heroverwegen: spreekt over uw wachtwoorden die worden gestolen door iemand die toegang heeft tot uw computeraccount. Niets vermeld over de centrale opslagbeveiliging en kwetsbaarheid. Er is zelfs een reactie van Chrome-browserbeveiligingstechnologie op het eerste probleem.
- De gestoorde wachtwoordbeveiligingsstrategie van Chrome: meestal op dezelfde lijn. U kunt het wachtwoord van iemand stelen als u toegang hebt tot het computeraccount.
- Hoe wachtwoorden gestolen in Google Chrome stelen in 5 eenvoudige stappen: leert u hoe u de handelen vermeld in de vorige twee wanneer u toegang hebt tot het account van iemand anders.
Er zijn er nog veel meer (waaronder deze op deze site), meestal langs dezelfde lijn, punten, tegenpunten, enorme debatten. Ik onthoud ze hier te vermelden, draag gewoon een zoekopdracht als je ze wilt vinden.
Terugkomend op mijn oorspronkelijke vraag, kan een medewerker van Google mijn wachtwoord zien? Omdat ik het wachtwoord met een eenvoudige knop kan bekijken, kunnen ze zonder versleuteling ongeschonden (gedecrypteerd) worden. Dit is heel anders dan de wachtwoorden die zijn opgeslagen in Unix-achtige besturingssystemen, waar het opgeslagen wachtwoord nooit in gewone tekst kan worden gezien.
Ze gebruiken een one-way encryptie-algoritme om uw wachtwoorden te versleutelen. Dit versleutelde wachtwoord wordt vervolgens opgeslagen in het passwd- of schaduwbestand. Wanneer u probeert in te loggen, wordt het wachtwoord dat u typt opnieuw versleuteld en vergeleken met het item in het bestand waarin uw wachtwoorden zijn opgeslagen. Als ze overeenkomen, moet dit hetzelfde wachtwoord zijn en hebt u toegang. Een superuser kan dus mijn wachtwoord wijzigen, kan mijn account blokkeren, maar hij kan mijn wachtwoord nooit zien.
Zijn zijn zorgen dus goed gefundeerd of zal een beetje inzicht zijn zorgen wegnemen?
Het antwoord
Bijdrager SuperUser Zeel helpt hem gerust te stellen:
Kort antwoord: Nee *
Wachtwoorden die op uw lokale computer zijn opgeslagen, kunnen door Chrome worden gedecodeerd, zolang uw gebruikersaccount bij het besturingssysteem is aangemeld. En vervolgens kunt u deze in niet-gecodeerde tekst bekijken. In eerste instantie lijkt dit vreselijk, maar hoe vond u dat automatisch vullen werkte? Wanneer dat wachtwoordveld wordt ingevuld, moet Chrome het echte wachtwoord invoegen in het HTML-formulierelement - anders werkt de pagina niet goed en kunt u het formulier niet verzenden. En als de verbinding met de website niet over HTTPS verloopt, wordt de onbewerkte tekst vervolgens via internet verzonden. Met andere woorden, als Chrome de wachtwoorden voor platte tekst niet kan krijgen, zijn ze totaal nutteloos. Een unidirectionele hash is niet goed, omdat we ze moeten gebruiken.
Nu zijn de wachtwoorden in feite gecodeerd, de enige manier om ze terug te brengen naar platte tekst is om de decoderingssleutel te hebben. Die sleutel is uw Google-wachtwoord of een secundaire sleutel die u kunt instellen. Wanneer u inlogt bij Chrome en synchroniseert, verzenden de servers van Google de versleutelde wachtwoorden, instellingen, bladwijzers, automatisch aanvullen, enz. naar uw lokale computer. Hier zal Chrome de informatie ontsleutelen en kunnen gebruiken.
Aan het einde van Google worden al die info opgeslagen in de verscrypte status en hebben ze niet de sleutel om deze te decoderen. Het wachtwoord van uw account wordt vergeleken met een hash om in te loggen bij Google. Zelfs als u Chrome dit laat onthouden, is die gecodeerde versie verborgen in dezelfde bundel als de andere wachtwoorden, die niet toegankelijk zijn. Dus een medewerker zou waarschijnlijk een stortje van de versleutelde gegevens kunnen pakken, maar het zou ze niet goed doen, omdat ze het op geen enkele manier zouden kunnen gebruiken. *
Dus nee, Google-medewerkers kunnen geen ** toegang krijgen tot uw wachtwoorden, omdat ze zijn gecodeerd op hun servers.
* Vergeet echter niet dat elk systeem waartoe een geautoriseerde gebruiker toegang heeft, toegankelijk is voor een niet-geautoriseerde gebruiker. Sommige systemen zijn gemakkelijker te doorbreken dan andere, maar geen enkele is foutbestendig ... Dat gezegd hebbende, ik denk dat ik Google en de miljoenen die ze aan beveiligingssystemen uitgeven, zal vertrouwen op een andere wachtwoordopslagoplossing. En ach, ik ben een wimpy nerd, het zou gemakkelijker zijn om de wachtwoorden uit me te slaan dan de encryptie van Google te breken.
** Ik ga er ook van uit dat er geen persoon is die toevallig voor Google werkt om toegang te krijgen tot uw lokale computer. In dat geval ben je genaaid, maar de tewerkstelling bij Google is eigenlijk geen factor meer. Moraal: druk op Win + L voordat je de machine verlaat.
Hoewel we het eens zijn met zeel dat het een redelijk veilige gok is (zolang uw computer niet wordt aangetast) dat uw wachtwoorden in feite veilig zijn terwijl ze in Chrome zijn opgeslagen, coderen we liever al onze aanmeldingen en wachtwoorden in een kluis van LastPass..
Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.