Chrome ve Chrome Sync kullanıyorum; Google’ın şifrelerime erişimi var mı?

33

Chrome'u (ve Chrome Sync) yıllardır kullanıyorum. Bu, Chrome'un sahibi Google’ın tüm şifrelerimi bildiği anlamına mı geliyor?

Soruyorum, çünkü Google’ın Chrome’nun sahibi olduğunu ve ayrıca kapalı kaynak kodlu bir tarayıcı olduğunu fark ettim, bu da tarayıcımın şifrelerimi toplamasını sağlayan bir çeşit arka kapı olabileceği anlamına geliyor.

Ayrıca, Firefox ile aynı durumda mı?

google-chrome  security  passwords  privacy 
Selin Peck
kaynak
Tarayıcınıza giriş yapıp yapmadığınızı belirtmediniz. Chrome'da oturum açmıyorsanız, tüm ayarlar, şifreler vb. Yalnızca yerel olarak kaydedilir ve bulutta kaydedilmez.
ernie
5
@ernie Sync kullanıyor, bu yüzden hepsi yerel değil
Tim S.
4
Google her şeyi bilir. Google bir şey bulamazsa, o zaman mevcut olmaz ..;)
Sp0T

Yanıtlar:

42

Kısa cevap, evet. Senkronizasyon etkinse ve bir şifre kaydetmeyi tercih ederseniz, bu şifre Google’ın sunucularına gönderilir. Bununla birlikte, veriler şifrelenmiştir ve bunlara erişim sınırlıdır.

Google, varsayılan olarak hesap bilgilerinizi kullanarak senkronize edilmiş verilerinizi şifreler . Google, şifrenizin bilgisi olmadan bu verilerin şifresinin çözülemeyeceğini ve aslında kimlik bilgileriniz değiştiğinde, senkronize edilen tüm verilerin sistemlerinden silinmesi gerektiğini ve daha sonra cihazlarınızdan yeniden senkronize edilebileceğini belirtir (ve işlem sırasında yeni bilgilerinizle yeniden şifrelenmiş).

Bu nedenle, her şey doğru çalışıyorsa, Google’ın kendilerine güvenilebilir ve ilgili üçüncü tarafları (NSA, suç korsanları, vb. Okumak) ilgilendirmek için Google altyapısı yeterince güvenlidir ve verileriniz güvendedir. Bununla birlikte, Google’ın, verilerinizi çözmediği halde verilerinizi şifresini çözme yeteneğine sahip olduğunu belirtti. Bu sadece şifreli anahtarın (kimlik bilgileriniz) oluşturulmasına taraf olmaları, onları anahtarları kaydetme ve potansiyel olarak kötüye kullanma pozisyonlarında bırakmalarının bir sonucudur.

Bu güven düzeyi, onlara yerleştirmek istediğimden daha fazla, bu durumda, şifreleri kaydetmemeyi veya verileri hizmetlerine senkronize etmemeyi tercih ederim, ama bu sadece benim tercihim. Sadece bir aptal herkese güvenir, fakat sadece daha büyük bir aptal kimseye güvenmez.

Frank Thomas
kaynak
11
Bağlantılı sayfanın okuduğunu belirtmekte fayda var: "Alternatif olarak, senkronize edilen tüm verilerinizi bir senkronizasyon şifresiyle şifrelemeyi seçebilirsiniz. Bu senkronizasyon şifresi bilgisayarınızda depolanır ve Google'a gönderilmez."
ve31415,
2
@ FrankThomas: Anlamadım. Verileri senkronize ederken kendi parolanızı seçebilirsiniz. Bu, Google’ın şifreyi bilmediği ve bu nedenle verilerin şifresini çözemediği anlamına gelir ... değil mi?
Mehrdad,
4
NSA'nın ilgisini çekebilecek herhangi bir veri için Google Chrome'u kullanmak korkunç bir hatadır.
JonathanReez Monica
5
Evet, senkronize ettiğiniz tüm verileri şifrelemeniz durumunda google, işlemin tamamen müşteri tarafında gerçekleştiğini belirtir; bu durumda anahtarı kolayca çıkaramazlar. Bu kendiliğinden daha güvenli, ancak güvenli değil. Hangi şifrenin kullanıldığını, parolanın korunup korunmadığını, anahtarınızın tek anahtar olup olmadığını vb. Bilmiyoruz. yasal bir müdahale talebi.
Frank Thomas
1
@ FrankThomas, bu yasa nedir? Kuralın, düz metinlerine erişme konusunda teknik yeteneğim varsa , o zaman uymam gerektiğini, ancak şifresini çözemediğim şifreli blokların depolanmasının hiçbir şekilde yasadışı olmadığını düşündüm.
otuz üçte birleşme
22

Şifreleme ayarlarınıza bağlıdır .

  • Senkronize edilmiş şifreleri Google kimlik bilgilerinizle şifreleyin: Bu, varsayılan seçenektir. Kayıtlı şifreleriniz Google’ın sunucularında şifrelenir ve Google Hesabı bilgilerinizle korunur.

Bu seçenekle, Google verilerinize erişebilir.

  • Senkronize edilmiş tüm verileri kendi senkronizasyon parolanızla şifreleyin: Senkronize etmeyi seçtiğiniz tüm verileri şifrelemek istiyorsanız bunu seçin. Yalnızca bilgisayarınızda depolanacak kendi parolanızı sağlayabilirsiniz.

Bu seçenekle, Google, şifrenizle neler olduğu konusunda dürüst olduklarını varsayarak (şifrenizi unuttuğunuzda, yararı için saklamadıklarını açıkça belirtirse ne olur) varsayarak , verilerinize erişemez. Senkronizasyon güvenliğindeki bazı boşluklar (veya arka kapılar) ve parolanız Google tarafından kaba kuvvet girişimlerine dayanacak kadar güvenlidir (böyle bir parola mümkün, ancak çok atipik).

Tarayıcınız olarak Chrome ile birlikte KeePass gibi bir çevrimdışı şifre yöneticisi kullanarak Google’ın şifrelerinizi ele geçirme olasılığını azaltabilirsiniz . Artık Google ürünlerini kullanarak bu fırsatı tamamen kaldırabilirsiniz (peki Google Drive veya Chrome ile gerçekten bir keylogger oluşturdularsa? şifreleriniz kırılmaz olsa bile).

Firefox ile, verilerinizin güvenliği dayanıyor Firefox Hesabınızın şifresidir güvenli nasıl. İyi bir şifre seçerseniz, Mozilla veya herhangi birinin şifrelerinize erişmesi imkansız olmalıdır. Bununla birlikte, bu Mozilla'nın sistemin nasıl çalıştığı konusunda dürüst olduğunu ve güvenliklerinde bir boşluk (veya arka kapı) bulunmadığını varsaymaktadır. Mozilla'yı kullanmak yerine kendi özel Sync sunucunuzu çalıştırarak ek bir güvenlik önlemi ekleyebilirsiniz . Firefox'un açık kaynak olması ve Mozilla’nın gizlilik konusunda Google’dan daha iyi bir geçmişe sahip olması nedeniyle , verilerinizi tehlikeye atmaya çalışma olasılığı çok daha düşük görünmektedir.

Paranoya seviyenizi istediğiniz gibi ve ihtiyaçlarınıza göre seçin. Google’dan Snowden düzeyindeki ihtiyaçlar için bir şey kullanmazdım, ancak normal gizlilik ihtiyaçları için en azından Google Sync’de bir parola kullandım (böylece Google Hesabınıza erişen bir saldırganın kendisinden önce geçmesi gereken başka bir katman var. şifreleri var).

Ayrıca, PC'nizde bir keylogger (belki bir ekran sıyırıcı ve fare tıklaması kaydedici ile tamamlanabilir) bir PC kurmayı başarırsa, bunların hepsinin camdan çıktığını unutmayın.

Tim S.
kaynak
1

Paranoya haklısın. Evet, Google şifrelerinize erişebilir. Özel bir parola tanımladıysanız, bu parola gerçekten insan tarafından seçilen bir parola olmaktan çok rastgele olmadığı sürece, bu bile geçerlidir. Sebep, Chrome'un bu parolayı bir şifreleme anahtarına dönüştürmek için kullandığı yaklaşım (PBKDF2-HMAC-SHA1 1003 yinelemeye neden olacak) kabadayılık için gülünçtür. Bu, Google’ın kaynaklarını gerektirmez, bir grafik kartına 1000 dolardan daha az yatırım yapmak isteyen herkes, birkaç gün içinde çoğu şifreyi tahmin edebilir. Mevcut uygulama, tüm hesaplar için parolaların paralel olarak tahmin edilmesini sağlayan değişken bir tuz bile ayarlayamamaktadır.

Mevcut Firefox Sync uygulaması oldukça iyidir. Sadece sunucudaki verilere erişen hiç kimse onunla bir sürü şey yapamaz, koruma aklı başındadır. Bu korumanın istemci tarafı bileşeni şu anda yetersiz kalmaktadır (1000 iterasyona sahip PBKDF2-HMAC-SHA256), bu nedenle sunucuya gönderilirken parola karmaşasını yakalayabilen herkes parolanızı karşılaştırmalı olarak tahmin edebilecektir biraz zahmet.

Ek bilgi:

Wladimir Palant
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.