Google Çalışanları Google Chrome'da Kayıtlı Şifrelerimi Görebilir mi?

Parolalarımızı Google Chrome'da kaydetmeye gerçekten hazır olduğumuzu biliyorum. Olası fayda iki katıdır.

• Bu uzun ve şifreli şifreleri girmeniz (ezberlemeniz ve) gerekmez.
• Bunlar, Google hesabınıza bir kez giriş yaptığınızda mevcuttur.

Son nokta, şüphelerime yol açtı. Şifre her yerde kullanılabildiğinden , depolama merkezi bir konumda olmalı ve bu Google’da olmalıdır.

Şimdi, benim basit sorum şu, bir Google çalışanı şifrelerimi görebilir mi?

İnternet üzerinden yapılan aramalarda çeşitli makaleler / mesajlar ortaya çıktı.

• Şifreleri Chrome'da mı saklıyorsunuz? Belki de tekrar gözden geçirmelisin : Bilgisayar hesabına erişimi olan biri tarafından şifrelerinin çalınmasından bahsediyor. Merkezi depolama güvenliği ve güvenlik açığı hakkında hiçbir şeyden söz edilmedi. Chrome tarayıcı güvenliği teknik liderinden ilk konuda bir yanıt bile var.
• Chrome'un deli şifre güvenlik stratejisi : Çoğunlukla aynı çizgi boyunca. Bilgisayar hesabına erişiminiz varsa, birisinden şifre çalabilirsiniz.
• Google Chrome'da Kaydedilen Şifreleri 5 Basit Adımda Nasıl Çalınır: Bir başkasının hesabına erişiminiz olduğunda, önceki ikide belirtilen eylemi nasıl gerçekleştireceğinizi öğretir .

(Dahil daha çok fazlası vardır bu bir de bu sitede çoğunlukla aynı hat boyunca, puan, karşı puan, büyük tartışmalar). Onlardan burada bahsetmekten kaçınıyorum, sadece onları bulmak istiyorsanız bir arama yapın.

Orijinal sorguma geri dönersek, bir Google çalışanı şifremi görebilir mi? Şifreyi basit bir düğme kullanarak görüntüleyebildiğim için, şifreli olsalar bile kesinlikle deşifre edilebiliyorlar. Bu, Unix benzeri işletim sistemlerinde kaydedilen şifrelerin, kaydedilmiş şifrenin hiçbir zaman düz metin olarak görülemeyeceğinden çok farklıdır.

Şifrelerinizi şifrelemek için tek yönlü şifreleme algoritması kullanırlar. Bu şifreli şifre daha sonra şifre veya gölge dosyasına kaydedilir. Giriş yapmaya çalıştığınızda, yazdığınız şifre tekrar şifrelenir ve şifrelerinizi depolayan dosyadaki girişle karşılaştırılır. Eşleşirlerse, aynı parola olmalı ve erişime izin verilir. Böylece, bir süper kullanıcı şifremi değiştirebilir, hesabımı engelleyebilir, ancak şifremi asla göremez.

Kısa cevap: Hayır ^*

Yerel makinenizde depolanan şifreler, işletim sistemi kullanıcı hesabınız oturum açtığı sürece Chrome tarafından şifresi çözülebilir. Sonra bunları düz metin olarak görüntüleyebilirsiniz. İlk başta bu korkunç görünüyor, ama otomatik doldurmanın işe yaradığını nasıl düşündün? Bu parola alanı dolduğunda, Chrome'un gerçek parolayı HTML form öğesine eklemesi gerekir; aksi halde sayfa düzgün çalışmayabilir ve formu gönderemezsiniz. Ve web sitesine bağlantı HTTPS üzerinden değilse, düz metin internet üzerinden gönderilir. Başka bir deyişle, eğer krom düz metin şifrelerini alamazsa, o zaman tamamen yararsızdırlar. Tek yönlü karma iyi değil çünkü onları kullanmamız gerekiyor.

Şimdi şifreler aslında şifreli, onları düz metne geri getirmenin tek yolu şifre çözme anahtarına sahip olmak. Bu anahtar Google şifreniz veya ayarlayabileceğiniz ikincil bir anahtardır. Chrome'da oturum açtığınızda ve senkronize ettiğinizde Google sunucuları şifreli şifreleri, ayarları, yer işaretlerini, otomatik doldurma vb. İşlemleri yerel makinenize iletir . Burada Chrome, bilgilerin şifresini çözecek ve kullanabilecek.

Google’ın sonunda, tüm bu bilgiler şifreli durumunda saklanır ve şifresini çözmek için anahtarı yoktur. Hesap şifreniz, Google’a giriş yapmak için bir karmaşaya göre kontrol edilir ve chrome’un hatırlamasına izin verseniz bile, şifreli sürümün diğer şifrelerle aynı pakette gizlendiğinden erişilmesi imkansızdır. Böylece, bir çalışan muhtemelen şifrelenmiş verilerden bir döküm tutabilir, ancak bunları kullanmanın hiçbir yolu olmayacağından, hiçbir faydası olmaz. ^*

Yani hayır, Google çalışanları yapamaz ^** , erişim şifreleri kendi sunucularında şifrelenir beri.

^{* Ancak, yetkili bir kullanıcı tarafından erişilebilecek herhangi bir sisteme yetkisiz bir kullanıcı tarafından erişilebileceğini unutmayın. Bazı sistemlerin kırılması diğerlerinden daha kolaydır, ancak hiçbiri arızaya dayanıklı değildir. . . Olduğu söyleniyor, sanırım Google’a ve güvenlik sistemlerine harcadıkları milyonlarca kişiye, başka bir şifre saklama çözümü üzerinden güveneceğim. Ve heck, ben huysuz bir ineğim , benden şifreleri yenmek Google’ın şifresini kırmaktan daha kolay olurdu .}

^{** Google’ın yerel makinenize erişmesi için işe yarayan bir kişi olmadığını da farz ediyorum. Bu durumda mahvoluyorsunuz, ancak Google’da çalışmak artık bir faktör değil. Ahlaki: Makineden ayrılmadan önce Win+ tuşuna basın L.}

Aslında, çoğu tarayıcıdan şifrelerinizi almak oldukça önemsizdir. Delice parola güvenliği makalesi, çoğunlukla Safari kullanan biri tarafından yazılmış ve doğru bir yoldan geldiğini düşünüyor gibi görünüyor. Bu, belirsizliğe göre kullanıcı düzeyinde güvenliktir. Konuyu gündeme getirmiş kişi başta iOS, OS X ve web geliştirme, değil güvenlik gelişimini does bir geliştirici olduğunu ve okumak isteyebilirsiniz Google'ın counterarguement çok

Windows'ta, Nirsoft'un bu aracı, tüm şifrelerinizi birden fazla tarayıcıdan kolayca taramamı sağlıyor. Birisi sisteminize fiziksel erişime sahipse, çok geç.

Ve hayır, Google’ın çalışanlarının şifrelerinizi görmesine izin vermesi olası değildir - tarayıcının gerçek senkronizasyon kısmı şifrelenmiş - giriş bilgilerinizi veya kendi şifrenizi kullanarak. Google’ın şifrenizin şifrelenmemiş bir kopyası yok. Bahsedilen şifrelerden sızma , küçük bir sevgi yapma isteği ve hükümetlerden Google’ın şifreleri teslim etmesini talep etme isteklerini önlüyor . Bilmediğin şeyi değiştiremezsin.

Gerçekten endişeleniyorsanız, üçüncü taraf bir şifre yöneticisi kullanın ve güvendiğiniz şekilde senkronize edin veya ana şifre ile daha az yaygın bir web tarayıcısı kullanın (bu araçların desteklemediği). Bununla birlikte, düz metin parola depolamasının GPU ile hızlandırılmış parola kırmanın mümkün olduğu günlerde pek kullanışlı olmadığı argümanı .

Teorik olarak değil. Daha fazla ayrıntı için https://support.google.com/chrome/answer/1181035 adresine bakın , ancak temelde senkronize edilmiş verileriniz (şifreler, yer imleri, tarih vb.) Google’ın sunucularına gönderilmeden önce şifrelenir. Şifreleme ya Google hesap şifrenizi ya da sadece senkronizasyon amacıyla seçtiğiniz ayrı bir şifreyi kullanır. Her zaman bu şifreyi girmek zorunda kalmadan işleri senkronize etmek için, senkronizasyon şifresinin yerel bilgisayarınızda saklanması gerekir.

Bir Google çalışanının şifrelerinizi görmesi için (yerel makinenize erişemediğini varsayarsak), Google hesap şifresini veya senkronizasyon şifrenizi bilmeleri gerekir. Google hesap şifresinin kendi tarafında bir tür karma biçiminde saklandığını ve böylece senkronize edilen verilerinizin şifresini kolayca çözmelerine izin vermeyeceklerini farz ediyorum.

Daha açık olmak gerekirse, Chrome'a ​​gelince iki ayrı şifre saklama sorunu vardır. Bunlardan biri, şifrelerin yerel olarak nasıl depolandığı ve çeşitli bağlantılarınız , biri yerel hesabınıza erişebiliyorsa, bu şifrelerin nasıl kolayca görüntülenebileceği hakkında konuşur . Diğer sorun, yukarıda tartıştığım konu, yani şifreler Google sunucularına nasıl gönderilir, böylece birden fazla Chrome kurulumunda kullanılabilir olmalarıdır.