Sto usando Chrome e Chrome Sync; Google ha accesso alle mie password?

Uso Chrome (e Chrome Sync) da molti anni ormai. Significa che Google, il proprietario di Chrome, conosce tutte le mie password?

Lo chiedo perché mi sono reso conto che Google possiede Chrome, e inoltre, è un browser a sorgente chiuso, il che significa che potrebbe esserci una sorta di backdoor che consente al browser di raccogliere le mie password.

Inoltre, è lo stesso caso con Firefox?

— Selin Peck
fonte

Non hai specificato se accedi o meno al tuo browser. Se non accedi a Chrome, tutte le impostazioni, le password e così via vengono salvate localmente e non nel cloud.

— Ernie,

@ernie usa Sync, quindi non è tutto locale

— Tim S.

Google sa tutto. Se Google non è in grado di trovare qualcosa, allora non esiste ..;)

— Sp0T,

Risposte:

Risposta breve, si. Se la sincronizzazione è abilitata e si sceglie di salvare una password, tale password verrà inviata ai server di Google. Detto questo, i dati sono crittografati e l'accesso ad essi è limitato.

Per impostazione predefinita, Google crittografa i dati sincronizzati utilizzando le credenziali dell'account . Google indica che questi dati non possono essere decifrati senza la conoscenza della tua password e che in effetti, quando cambiano le tue credenziali, tutti i dati sincronizzati devono essere eliminati dai loro sistemi e possono quindi essere risincronizzati dai tuoi dispositivi (e nel frattempo è criptato nuovamente con le tue nuove credenziali).

Quindi, se tutto funziona correttamente, ci si può fidare di Google stesso e l'infrastruttura di Google è sufficientemente sicura per tenere fuori le terze parti interessate (leggi NSA, hacker criminali, ecc.) I tuoi dati sono al sicuro. Detto questo, tuttavia, Google ha ancora la capacità di decrittografare i tuoi dati, anche se non lo rendono noto. Questo è semplicemente il risultato del fatto che partecipano alla creazione della chiave di cifratura (le tue credenziali), lasciandole in grado di salvare e potenzialmente abusare delle chiavi.

Questo livello di fiducia è più di quello che vorrei riporre in essi, quindi in questa situazione, sceglierei di non salvare password o sincronizzare i dati con i loro servizi, ma questa è solo la mia preferenza. Solo un pazzo si fida di tutti, ma solo un pazzo più grande non si fida di nessuno.

— Frank Thomas
fonte

Vale la pena ricordare che la pagina collegata riporta: "In alternativa, puoi scegliere di crittografare tutti i tuoi dati sincronizzati con una passphrase di sincronizzazione. Questa passphrase di sincronizzazione viene archiviata sul tuo computer e non viene inviata a Google".

— and31415

@FrankThomas: non capisco. Puoi scegliere la tua passphrase quando sincronizzi i dati. Ciò significa che Google non conosce la passphrase e quindi non può decrittografare i dati ... no?

— Mehrdad,

L'uso di Google Chrome per qualsiasi dato a cui la NSA potrebbe essere interessata è un errore orribile.

— JonathanReez sostiene Monica

Sì, se crittografate tutti i dati sincronizzati, google afferma che l'operazione avviene interamente sul lato client, nel qual caso non saranno in grado di inferire facilmente la chiave. Ciò lo rende più sicuro, ma non sicuro, di per sé. Non abbiamo idea di quale codice sia in uso, se mantengono un hash della password, se la tua chiave è l'unica, ecc. La legge degli Stati Uniti non consente realmente a un servizio di conservare dati crittografati a cui essi stessi non possono accedere in risposta a una richiesta di intercettazione lecita.

— Frank Thomas,

@FrankThomas, che legge è? Pensavo che la regola fosse che se avessi la capacità tecnica di accedere al loro testo in chiaro, allora dovevo rispettarlo, ma l'archiviazione di BLOB crittografati che non posso decifrare non è in alcun modo illegale.

— trentatré

Dipende dalle impostazioni di crittografia .

Crittografa le password sincronizzate con le tue credenziali di Google: questa è l'opzione predefinita. Le password salvate vengono crittografate sui server di Google e protette con le credenziali del tuo account Google.

Con questa opzione, Google ha accesso ai tuoi dati.

Crittografa tutti i dati sincronizzati con la tua passphrase di sincronizzazione: seleziona questa opzione se desideri crittografare tutti i dati che hai scelto di sincronizzare. Puoi fornire la tua passphrase che verrà memorizzata solo sul tuo computer.

Con questa opzione, Google non ha accesso ai tuoi dati, supponendo che siano onesti su ciò che accade con la tua passphrase (cosa succede se dimentichi la tua passphrase chiarisce che non li memorizzano a tuo vantaggio), non hai qualche buco (o backdoor) nella loro sicurezza di sincronizzazione, e la tua passphrase è abbastanza sicura da resistere a un tentativo di forza bruta da parte di Google (tale password è possibile, ma molto atipica).

Puoi ridurre l'opportunità per Google di intercettare le tue password utilizzando un gestore di password offline come KeePass insieme a Chrome come browser. Puoi rimuovere completamente l'opportunità non utilizzando più i prodotti Google (e se in realtà un bundle keylogger fosse associato a Google Drive o Chrome? E con Gmail, le richieste di reimpostazione della password potrebbero essere intercettate in un modo o nell'altro, con la conseguenza che Google potrebbe accedere ai tuoi account, anche se le tue password non sono crackabili).

Con Firefox, la sicurezza dei dati dipende dalla sicurezza della password dell'account Firefox. Se scegli una buona password, dovrebbe essere impossibile per Mozilla o chiunque accedere alle tue password. Tuttavia, questo presuppone che Mozilla sia onesto su come funziona il sistema e che non vi siano buchi aperti (o backdoor) nella loro sicurezza. Puoi aggiungere un'ulteriore misura di sicurezza eseguendo il tuo server di sincronizzazione privato invece di usare Mozilla. Poiché Firefox è open source e Mozilla ha un track record migliore in termini di privacy rispetto a Google , la probabilità che provino a compromettere i tuoi dati sembra molto più bassa.

Scegli il tuo livello di paranoia come preferisci e in base alle tue esigenze. Non userei nulla di Google per esigenze di livello Snowden, ma per esigenze di privacy ordinaria, aggiungerei almeno una passphrase su Google Sync (in modo che un utente malintenzionato che accede al tuo account Google abbia un altro livello da superare prima di ha le tue password).

Inoltre, tieni presente che tutto ciò esce dalla finestra se qualcuno riesce a installare un keylogger (forse integrato da un raschietto dello schermo e un registratore di clic del mouse per combattere le tastiere sullo schermo) sul tuo PC.

— Tim S.
fonte

La tua paranoia è ben giustificata. Sì, Google può accedere alle tue password. Questo è anche vero se hai definito una passphrase personalizzata, a meno che quella passphrase sia veramente casuale piuttosto che essere una tipica password scelta dall'uomo. Il motivo è che l'approccio utilizzato da Chrome per convertire quella passphrase in una chiave di crittografia (PBKDF2-HMAC-SHA1 sarà 1003 iterazioni) è ridicolmente semplice per la forza bruta. Non ci vogliono le risorse di Google, chiunque sia disposto a investire meno di $ 1000 in una scheda grafica può indovinare la maggior parte delle password in pochi giorni. L'attuale implementazione non riesce nemmeno a impostare un salt variabile, che consente di indovinare passphrase per tutti gli account in parallelo.

L'attuale implementazione di Firefox Sync è notevolmente migliore. Chiunque acceda semplicemente ai dati sul server non sarà in grado di fare molto con esso, la protezione è sana. Il componente lato client di tale protezione è attualmente non ottimale (PBKDF2-HMAC-SHA256 con 1000 iterazioni), quindi chiunque sia in grado di intercettare l'hash della password mentre viene inviato al server sarà in grado di indovinare la tua password con comparabile piccolo sforzo.

Informazioni aggiuntive:

— Wladimir Palant
fonte