Може ли служителите на Google да видят моите запазени пароли за Google Chrome?

Съхраняването на паролите във вашия уеб браузър изглежда много спестяващо време, но паролите са сигурни и недостъпни за другите (дори и за служителите на браузърската компания), когато са извадени?

Днешната сесия за въпроси и отговори идва при нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, групирано от общността уеб сайтове за въпроси и отговори.

Въпроса

Четецът на SuperUser MMA е любопитен, ако служителите на Google имат (или биха могли) достъп до паролите, които съхранява в Google Chrome:

Разбирам, че наистина се изкушаваме да запазим паролите си в Google Chrome. Вероятната полза е два пъти,

• Не е нужно да (запомняте и) въвеждате тези дълги и криптирани пароли.
• Те са достъпни, където и да сте, след като влезете в профила си в Google.

Последната точка предизвика съмнението ми. Тъй като паролата е достъпна навсякъде, хранилището трябва да е на някакво централно място, а това трябва да е в Google.

Сега, моят прост въпрос е, може ли служител на Google да види моите пароли?

Търсенето по интернет разкри няколко статии / съобщения.

• Запазвате ли пароли в Chrome? Може би трябва да преразгледате: Преговаря за това, че вашите пароли са откраднати от някой, който има достъп до вашия компютър. Нищо не споменава за сигурността и уязвимостта на централното съхранение. Има дори отговор от водещите технологии за сигурност на браузъра Chrome за първия проблем.
• Стратегията на Chrome за защита на лудите пароли: предимно по същия ред. Можете да откраднете парола от някого, ако имате достъп до компютърната сметка.
• Как да откраднат паролите, запазени в Google Chrome в 5 прости стъпки: Учи ви как да изпълнявате акт споменати в предишните две, когато имате достъп до чужда сметка.

Има още много (включително този на този сайт), най-вече по същата линия, точки, противоположни точки, огромни дебати. Аз се въздържам от споменаването им тук, просто провеждам търсене, ако искате да ги намерите.

Ако се върнем към първоначалната си заявка, може ли служител на Google да види паролата ми? Тъй като мога да видя паролата с помощта на прост бутон, определено те могат да бъдат разкопчани (декриптирани), дори ако са криптирани. Това е много различно от паролите, записани в Unix-подобни операционни системи, където запазената парола никога не може да бъде видяна в обикновен текст.

Те използват еднопосочен алгоритъм за шифроване на паролите. Тази криптирана парола се съхранява в файла passwd или shadow. Когато се опитвате да влезете, паролата, която въвеждате, отново се криптира и се сравнява със записа във файла, който съхранява паролите ви. Ако съвпадат, трябва да е същата парола и ви е разрешен достъп. По този начин суперпотребителят може да промени паролата ми, да блокира профила ми, но никога не може да види паролата ми.

Така че неговите опасения са добре обосновани или малко прозрение ще разсее притесненията му?

Отговорът

Сътрудникът на SuperUser Zeel помага за успокоение:

Кратък отговор: Не *

Паролите, съхранявани на локалната ви машина, могат да бъдат дешифрирани от Chrome, стига да е влязъл потребителският ви акаунт в ОС. След това можете да ги видите в обикновен текст. В началото това изглежда ужасно, но как мислите, че автоматичното попълване работи? Когато полето за парола бъде попълнено, Chrome трябва да вмъкне истинската парола в елемента на HTML формуляра - иначе страницата няма да работи правилно и не можете да изпратите формуляра. И ако връзката към уебсайта не е над HTTPS, тогава обикновеният текст се изпраща по интернет. С други думи, ако хромът не може да получи пароли за обикновен текст, те са напълно безполезни. Еднопосочният хеш не е добър, защото трябва да ги използваме.

Сега паролите са всъщност криптирани, единственият начин да ги върнете към обикновен текст е да имате ключ за дешифриране. Този ключ е вашата парола за Google или вторичен ключ, който можете да настроите. Когато влезете в Chrome и синхронизирате, сървърите на Google ще предадат криптиран пароли, настройки, отметки, автоматично попълване и т.н. Тук Chrome ще декриптира информацията и ще може да я използва.

В края на Google цялата тази информация се съхранява в нейното инкрупирано състояние и те нямат ключа да го декриптират. Паролата за профила ви се проверява срещу хеш, за да влезете в Google, и дори да оставите хромирането да го помни, тази криптирана версия е скрита в същия пакет като другите пароли, достъпът до който е невъзможен. Така че един служител вероятно би могъл да вземе дъмп от криптираните данни, но няма да ги направи добро, тъй като няма да има начин да го използват. *

Така че не, служителите на Google не могат да получат достъп до паролите ви, тъй като те са криптирани на техните сървъри.

* Не забравяйте обаче, че всяка система, до която има достъп оторизиран потребител, може да бъде достъпен от неоторизиран потребител. Някои системи са по-лесни за разчупване от други, но никой не е неуспешен… Това се каза, мисля, че ще се доверя на Google и на милионите, които те харчат за системите за сигурност, над всяко друго решение за съхранение на пароли. И по дяволите, аз съм тънък маниак, че би било по-лесно да избягам паролите от мен, отколкото да наруша криптирането на Google.

** Предполагам също, че няма човек, който просто да работи за Google, за да получи достъп до локалната ви машина. В такъв случай вие сте прецакани, но заетостта в Google всъщност вече не е фактор. Морал: Удари Win + L преди да напуснеш машината.

Въпреки че сме съгласни с това, че това е доста безопасно залагане (докато компютърът ви не е компрометиран), че паролите ви са всъщност безопасни, докато се съхраняват в Chrome, предпочитаме да криптираме всички наши данни за вход и пароли в хранилището на LastPass..

Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.