Salasanojen tallentaminen selaimellasi tuntuu hyvältä säästäjältä, mutta ovatko salasanat turvallisia ja saavuttamattomia muille (jopa selaimen työntekijöille), kun heidät irtoaa?
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin hyväksi - Stack Exchangein alaosasto, joka on yhteisöllinen Q & A-sivustojen ryhmittely.
SuperUser-lukija MMA on utelias, jos Google-työntekijät ovat (tai saivat) käyttää salasanoja, jotka hän tallentaa Google Chromessa:
Ymmärrän, että olemme todella houkuttelevia tallentamaan salasanoihimme Google Chromessa. Todennäköinen hyöty on kaksinkertainen,
- Sinun ei tarvitse (muistaa ja syöttää) nämä pitkät ja salaperäiset salasanat.
- Nämä ovat käytettävissä missä olet, kun kirjaudut sisään Google-tilillesi.
Viimeinen kohta herätti epäilykseni. Koska salasana on käytettävissämissä tahansa, tallennuksen on oltava jossain keskeisessä paikassa, ja sen pitäisi olla Googlessa.
Nyt yksinkertainen kysymykseni on, voiko Google-työntekijä nähdä salasanani?
Internetin kautta haettiin useita artikkeleita / viestejä.
- Tallennatko salasanat Chromeon? Ehkä sinun pitäisi harkita uudelleen: Tietojen käsittely salasanat varastetaan joku, jolla on pääsy tietokoneesi tiliin. Mikään ei maininnut keskeisestä tallennusturvallisuudesta ja haavoittuvuudesta. Chrome-selaimen tietoturvateknologiasta vastaava vastaus on vasta ensimmäisestä numerosta.
- Kromin hullu salasanasuojausstrategia: Useimmiten samassa linjassa. Voit varastaa jonkun salasanan, jos sinulla on pääsy tietokoneeseen.
- Google Chrome -ohjelmaan tallennettujen salasanojen varastaminen viidessä yksinkertaisessa vaiheessa: Opettaa sinulle, kuinka oikein suoritetaantoimia jotka on mainittu edellisissä kahdessa, kun sinulla on pääsy jonkun muun tilille.
On paljon enemmän (mukaan lukien tämä osoitteessatämä sivusto), enimmäkseen samansuuntaisesti, pisteitä, vastapisteitä, valtavia keskusteluja. En pidä mainita niitä täällä, vain tehdä haku, jos haluat löytää ne.
Tulin takaisin alkuperäiseen kyselyynni, voiko Google-työntekijä nähdä salasanani? Koska voin tarkastella salasanaa yksinkertaisella painikkeella, varmasti ne voidaan unhashed (decrypted), vaikka salattu. Tämä eroaa hyvin Unixin kaltaisista käyttöjärjestelmistä tallennetuista salasanoista, joissa tallennettua salasanaa ei voi koskaan nähdä tavallisessa tekstissä.
He käyttävät yksisuuntaista salausalgoritmia salaamaan salasanasi. Tämä salattu salasana tallennetaan sitten passwd- tai varjotiedostoon. Kun yrität kirjautua sisään, kirjoittamasi salasana salataan uudelleen ja sitä verrataan salasanan tallentamassa olevaan tietoon. Jos ne vastaavat, sen on oltava sama salasana ja sinulla on oltava pääsy. Ylittäjä voi siis muuttaa salasanani, estää tilini, mutta hän ei voi koskaan nähdä salasanani.
Joten ovat hänen huolensa perusteltuja vai tuleeko vähän näkemystä hälventää huolta?
SuperUser-avustaja Zeel auttaa tekemään mielensä helposti:
Lyhyt vastaus: Ei *
Chromen voi purkaa paikalliseen koneeseen tallennetut salasanat, kunhan käyttöjärjestelmäsi on kirjautunut sisään. Sen jälkeen voit tarkastella niitä tavallisessa tekstissä. Aluksi tämä näyttää kauhealta, mutta miltä luulet, että automaattinen täyttö toimi? Kun salasanakenttä täyttyy, Chromen on syötettävä todellinen salasana HTML-lomakeosiin - muuten sivu ei toimi oikein, etkä voi lähettää lomaketta. Ja jos yhteyden luominen verkkosivustolle ei ole HTTPS: n päällä, pelkkä teksti lähetetään Internetin välityksellä. Toisin sanoen, jos kromi ei pääse tavallisen tekstin salasanoihin, ne ovat täysin hyödytöntä. Yksisuuntainen hash ei ole hyvä, koska meidän on käytettävä niitä.
Nyt salasanat ovat itse asiassa salattuja, ainoa tapa saada ne takaisin tavalliseen tekstiin on saada salauksen avain. Tämä avain on Google-salasanasi tai toissijainen avain, jonka voit määrittää. Kun kirjaudut Chromeen ja synkronoidaan, Google-palvelimet lähettävätsalattu salasanoja, asetuksia, kirjanmerkkejä, automaattisia täyttöjä jne. paikalliseen koneeseen. Tässä Chrome salaa tiedot ja pystyy käyttämään sitä.
Googlen lopussa kaikki tiedot tallennetaan sen piilotettuun tilaan, eikä niillä ole avainta purkaa sitä. Tilisi salasana on tarkistettu hajautumisen yhteydessä, jotta voit kirjautua Googlelle ja vaikka annat kromin muistaa sen, salattu versio piilotetaan samassa paketissa kuin muut salasanat, joita ei voi käyttää. Joten työntekijä voisi luultavasti napata salatun datan salauksen, mutta se ei tekisi heille mitään hyvää, koska heillä ei olisi mitään keinoa käyttää sitä. *
Joten, Google-työntekijät eivät voi ** käyttää salasanoja, koska ne on salattu palvelimille.
* Älä kuitenkaan unohda, että luvaton käyttäjä voi käyttää mitä tahansa järjestelmää, johon valtuutettu käyttäjä voi käyttää. Jotkut järjestelmät ovat helpommin hajoavia kuin muut, mutta mikään ei ole epäonnistunut ... Sanoin, että luulen, että luotan Googlelle ja miljoonille, joita he käyttävät turvajärjestelmiin, muihin salasanatallennusratkaisuihin verrattuna. Ja helvetti, olen tyhmä nartu, se olisi helpompaa voittaa salasanat pois minusta kuin rikkoa Googlen salausta.
** Oletan myös, että ei ole henkilöä, joka vain sattuu työskentelemään, kun Google saa pääsyn paikalliseen koneeseen. Tällöin olet ruuvattu, mutta työpaikka Googlessa ei ole enää tekijä enää. Moraali: Hit Win + L ennen kuin poistut koneesta.
Vaikka olemme samaa mieltä zeelin kanssa siitä, että se on melko turvallinen veto (niin kauan kuin tietokoneesi ei ole vaarassa), että salasanasi ovat itse asiassa turvallisia, kun niitä säilytetään Chromessa, me haluamme salata kaikki kirjautumisemme ja salasanamme LastPass-holkissa.
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
