I dipendenti Google possono vedere le mie password salvate in Google Chrome?

Comprendo che siamo davvero tentati di salvare le nostre password in Google Chrome. Il probabile beneficio è duplice,

• Non è necessario (memorizzare e) inserire quelle password lunghe e criptiche.
• Questi sono disponibili ovunque tu sia una volta effettuato l'accesso al tuo account Google.

L'ultimo punto ha suscitato il mio dubbio. Poiché la password è disponibile ovunque , l'archiviazione deve essere in una posizione centrale, e questo dovrebbe essere su Google.

Ora, la mia semplice domanda è: un dipendente di Google può vedere le mie password?

La ricerca su Internet ha rivelato diversi articoli / messaggi.

• Salva le password in Chrome? Forse dovresti riconsiderare : parla delle tue password rubate da qualcuno che ha accesso al tuo account del computer. Nulla menzionato sulla sicurezza e la vulnerabilità dell'archiviazione centrale. C'è anche una risposta dal responsabile della tecnologia di sicurezza del browser Chrome sul primo problema.
• La folle strategia di sicurezza della password di Chrome : principalmente sulla stessa linea. Puoi rubare la password a qualcuno se hai accesso all'account del computer.
• Come rubare le password salvate in Google Chrome in 5 semplici passaggi : ti insegna come eseguire effettivamente l' atto menzionato nei due precedenti quando hai accesso all'account di qualcun altro.

Ce ne sono molti altri (incluso questo in questo sito ), per lo più sulla stessa linea, punti, contrappunti, dibattiti enormi. Mi astengo dal menzionarli qui, semplicemente eseguo una ricerca se si desidera trovarli.

Tornando alla mia query originale, un dipendente di Google può vedere la mia password? Dal momento che posso visualizzare la password utilizzando un semplice pulsante, sicuramente possono essere cancellati (decrittografati) anche se crittografati. Questo è molto diverso dalle password salvate nei sistemi operativi simili a Unix in cui la password salvata non può mai essere vista in testo semplice.

Usano un algoritmo di crittografia unidirezionale per crittografare le password. Questa password crittografata viene quindi memorizzata nel file passwd o shadow. Quando si tenta di accedere, la password digitata viene nuovamente crittografata e confrontata con la voce nel file in cui sono memorizzate le password. Se corrispondono, deve essere la stessa password e l'accesso è consentito. Pertanto, un superutente può modificare la mia password, può bloccare il mio account, ma non può mai vedere la mia password.

Risposta breve: No ^*

Le password memorizzate sul tuo computer locale possono essere decodificate da Chrome, purché il tuo account utente del sistema operativo sia connesso. E quindi puoi visualizzarle in testo semplice. All'inizio sembra orribile, ma come pensavi che il riempimento automatico funzionasse? Quando il campo della password viene compilato, Chrome deve inserire la password reale nell'elemento del modulo HTML, altrimenti la pagina non funzionerebbe correttamente e non è possibile inviare il modulo. E se la connessione al sito Web non avviene tramite HTTPS, il testo normale viene quindi inviato su Internet. In altre parole, se Chrome non è in grado di ottenere le password in chiaro, allora sono totalmente inutili. Un hash a senso unico non va bene, perché dobbiamo usarli.

Ora le password sono infatti crittografate, l'unico modo per riportarle al testo normale è disporre della chiave di decrittografia. Quella chiave è la tua password di Google o una chiave secondaria che puoi impostare. Quando accedi a Chrome e sincronizzi i server di Google trasmettono le password crittografate , le impostazioni, i segnalibri, il riempimento automatico, ecc. Al tuo computer locale. Qui Chrome decodificherà le informazioni e sarà in grado di usarle.

Da parte di Google, tutte quelle informazioni vengono archiviate nel loro stato crittografato e non dispongono della chiave per decrittografarle. La password del tuo account viene verificata rispetto a un hash per accedere a Google e, anche se lasci che Chrome lo ricordi, quella versione crittografata è nascosta nello stesso pacchetto delle altre password, impossibile da accedere. Quindi un dipendente potrebbe probabilmente prendere una copia dei dati crittografati, ma non li farebbe bene, dal momento che non avrebbero modo di usarli. ^*

Quindi no, i dipendenti di Google non possono ^** accedere alle tue password, poiché sono crittografate sui loro server.

^{* Tuttavia, non dimenticare che qualsiasi utente a cui può accedere un sistema a cui può accedere un utente autorizzato. Alcuni sistemi sono più facili da rompere rispetto ad altri, ma nessuno è a prova di guasto. . . Detto questo, penso che mi fiderò di Google e dei milioni che spendono per i sistemi di sicurezza, rispetto a qualsiasi altra soluzione di archiviazione delle password. E diamine, sono un secchione secchione, sarebbe più facile da battere le password da me piuttosto che rompere la crittografia di Google.}

^{** Suppongo anche che non ci sia una persona che lavora per Google per ottenere l'accesso al tuo computer locale. In quel caso sei fregato, ma l'occupazione in Google non è più un fattore. Morale: premi Win+ Lprima di lasciare la macchina.}

In realtà, è piuttosto banale recuperare le password dalla maggior parte dei browser. Il pazzo articolo sulla sicurezza delle password è stato scritto da qualcuno che usa principalmente Safari e sembra pensare che debba essere nel modo giusto. Questa è la sicurezza a livello di utente per oscurità. La persona che ha sollevato la questione è uno sviluppatore che fa principalmente iOS, OS X e lo sviluppo web, non lo sviluppo della sicurezza, e si potrebbe desiderare di leggere counterarguement di Google troppo

Su Windows, questo strumento di Nirsoft mi consente facilmente di carpire tutte le tue password da più browser. Se qualcuno ha accesso fisico al tuo sistema, è troppo tardi.

E no, è improbabile che Google consenta ai suoi dipendenti di vedere le tue password - la parte di sincronizzazione effettiva del browser è crittografata - utilizzando le tue credenziali di accesso o la tua passphrase. Google in quanto tale non ha una copia non crittografata della tua password. È una buona pratica poiché impedisce le perdite di tali password, la tentazione di fare un po 'di amore , e dai governi di chiedere a Google di consegnare le password. Non puoi chiacchierare di ciò che non sai.

Se sei davvero preoccupato, usa un gestore di password di terze parti e sincronizzalo in qualsiasi modo ti fidi, oppure usa un browser Web meno comune (che questi strumenti non supportano) con una password principale. Tuttavia, l'argomento secondo cui l'archiviazione della password in testo normale non è molto utile nel giorno in cui è disponibile il cracking della password accelerato dalla GPU .

Teoricamente no. Consulta https://support.google.com/chrome/answer/1181035 per maggiori dettagli, ma sostanzialmente i tuoi dati sincronizzati (password, segnalibri, cronologia, ecc.) Vengono crittografati prima di essere inviati ai server di Google. La crittografia utilizza la password del tuo account Google o una password separata che scegli solo ai fini della sincronizzazione. Per mantenere le cose sincronizzate senza dover digitare sempre quella password, la password di sincronizzazione deve essere memorizzata sul tuo computer locale.

Per consentire a un dipendente di Google di vedere le tue password (supponendo che non abbiano accesso al tuo computer locale), dovrebbero conoscere la password dell'account Google o la tua password di sincronizzazione. Suppongo che la password dell'account Google sia memorizzata in una sorta di forma hash dalla loro parte, in modo da non consentire loro di decodificare prontamente i tuoi dati sincronizzati.

Per essere chiari, ci sono due distinti problemi di archiviazione delle password quando si tratta di Chrome. Uno è il modo in cui le password vengono archiviate localmente e i tuoi vari collegamenti parlano di come tali password possono essere facilmente visualizzate se qualcuno può accedere al tuo account locale . L'altro problema è quello che ho discusso in precedenza, vale a dire come le password vengono inviate ai server di Google, in modo che possano essere disponibili su più installazioni di Chrome.