Können Google-Mitarbeiter meine in Google Chrome gespeicherten Passwörter anzeigen?

34

Ich verstehe, dass wir wirklich versucht sind, unsere Passwörter in Google Chrome zu speichern. Der wahrscheinliche Nutzen ist zweifach,

  • Sie müssen diese langen und kryptischen Passwörter nicht auswendig lernen und eingeben.
  • Diese sind überall verfügbar, sobald Sie sich in Ihrem Google-Konto angemeldet haben.

Der letzte Punkt hat meine Zweifel geweckt. Da das Passwort überall verfügbar ist , muss sich der Speicher an einem zentralen Ort befinden, und dies sollte bei Google sein.

Nun ist meine einfache Frage: Kann ein Google-Mitarbeiter meine Passwörter sehen?

Die Suche über das Internet ergab mehrere Artikel / Nachrichten.

Es gibt viel mehr (einschließlich dieses auf dieser Seite ), meistens entlang derselben Linie, Punkte, Gegenpunkte, große Debatten. Ich verzichte darauf, sie hier zu erwähnen, sondern führe einfach eine Suche durch, wenn du sie finden willst.

Kann ein Google-Mitarbeiter mein Passwort sehen, wenn er zu meiner ursprünglichen Abfrage zurückkehrt? Da ich das Passwort mit einem einfachen Knopf anzeigen kann, können sie definitiv entschlüsselt werden, auch wenn sie verschlüsselt sind. Dies unterscheidet sich stark von den Passwörtern, die in Unix-ähnlichen Betriebssystemen gespeichert wurden, in denen das gespeicherte Passwort niemals im Klartext angezeigt wird.

Sie verwenden einen Einweg-Verschlüsselungsalgorithmus , um Ihre Passwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der passwd- oder shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es dasselbe Passwort sein, und Ihnen wird der Zugriff gewährt. So kann ein Superuser mein Passwort ändern, mein Konto sperren, aber er kann mein Passwort nie sehen.

Masroor
quelle
6
Sie können eine Zeichenfolge nicht "entkoppeln". Cryptographic Hash - Funktionen sind Einbahn sie entworfen undurchführbar zu sein (dh so lange dauert , das zu tun , bis du es getan, es wird nicht Rolle mehr) rückgängig zu machen. Der * nix "Einweg-Verschlüsselungsalgorithmus" ist eine Hash-Funktion.
Blacklight Shining
Danke, irgendwie wurde ich mitgerissen. Ich wollte entschlüsseln bedeuten.
Masroor
Solange diese Passwörter auch für Android nicht für WLAN verwendet werden, sollten Sie sich speichern. Ich muss das sagen, da Google weiß, dass Ihre WiFi-Pässe auf Android verwendet werden.
Mathe
@math Möchtest du das etwas näher erläutern? Irgendwie konnte ich es nicht richtig verstehen.
Masroor
Es gibt viele News-Sites, die sich mit diesem Thema beschäftigen, verwenden Sie einfach eine Suchmaschine mit: "Wifi-Passwörter google android" erledigt. ZB gizmodo.com/…
Mathe

Antworten:

34

Kurze Antwort: Nein *

Passwörter, die auf Ihrem lokalen Computer gespeichert sind, können von Chrome entschlüsselt werden, solange Ihr Betriebssystem-Benutzerkonto angemeldet ist. Anschließend können Sie diese Passwörter im Nur-Text-Format anzeigen. Das scheint zunächst schrecklich, aber wie hat das automatische Ausfüllen funktioniert? Wenn dieses Kennwortfeld ausgefüllt wird, muss Chrome das tatsächliche Kennwort in das HTML-Formularelement einfügen. Andernfalls funktioniert die Seite nicht ordnungsgemäß und Sie können das Formular nicht senden. Wenn die Verbindung zur Website nicht über HTTPS hergestellt wird, wird der Klartext über das Internet gesendet. Mit anderen Worten, wenn Chrome die Klartext-Passwörter nicht abrufen kann, sind sie völlig nutzlos. Ein One-Way-Hash ist nicht gut, weil wir sie verwenden müssen.

Jetzt sind die Passwörter tatsächlich verschlüsselt. Die einzige Möglichkeit, sie wieder in Klartext umzuwandeln, besteht darin, den Entschlüsselungsschlüssel zu haben. Dieser Schlüssel ist Ihr Google-Passwort oder ein Sekundärschlüssel, den Sie einrichten können. Wenn Sie sich in Chrome anmelden und die Google-Server synchronisieren, werden die verschlüsselten Passwörter, Einstellungen, Lesezeichen, das automatische Ausfüllen usw. an Ihren lokalen Computer übertragen. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.

Am Ende werden alle diese Informationen in ihrem verschlüsselten Zustand gespeichert und sie haben nicht den Schlüssel, um sie zu entschlüsseln. Das Passwort Ihres Kontos wird auf einen Hash überprüft, um sich bei Google anzumelden. Selbst wenn Sie Chrome daran erinnern, wird diese verschlüsselte Version im selben Paket wie die anderen Passwörter versteckt, auf die kein Zugriff möglich ist. Ein Mitarbeiter könnte also wahrscheinlich einen Speicherauszug der verschlüsselten Daten abrufen, aber das würde ihnen nichts nützen, da er keine Möglichkeit hätte, sie zu verwenden. *

Nein, Google-Mitarbeiter ** können nicht auf Ihre Passwörter zugreifen, da sie auf ihren Servern verschlüsselt sind.


* Vergessen Sie jedoch nicht, dass ein nicht autorisierter Benutzer auf jedes System zugreifen kann, auf das ein autorisierter Benutzer zugreifen kann. Einige Systeme sind leichter zu brechen als andere, aber keines ist ausfallsicher. . . Abgesehen davon glaube ich, dass ich Google und den Millionen, die sie für Sicherheitssysteme ausgeben, gegenüber jeder anderen Lösung zur Speicherung von Passwörtern vertrauen werde. Und Teufel, ich bin ein wimpy nerd, wäre es einfacher, zu schlagen , die Passwörter aus mir als Pause von Google - Verschlüsselung.

** Ich gehe auch davon aus, dass es keine Person gibt, die zufällig für Google arbeitet und Zugriff auf Ihren lokalen Computer erhält. In diesem Fall sind Sie geschraubt, aber eine Anstellung bei Google spielt eigentlich keine Rolle mehr. Moral: Drücken Sie Win+, Lbevor Sie die Maschine verlassen.

zeel
quelle
3
Win + L funktioniert bei mir nicht, da ich ein Linux-Benutzer bin. Aber danke, ich habe die Angewohnheit, meine Maschine beim Verlassen nie zu verschließen.
Masroor
Nun, es ist das Gefühl, das wichtig ist. Und für Nicht-Windows-Benutzer gibt es sicher eine einfache Möglichkeit, einen Sperr-Hotkey zu erstellen.
Zeel
6
Die meisten Linux-Betriebssysteme verwenden Strg-Alt-L, um die Maschine zu sperren. Ich habe sogar zuvor ein Dienstprogramm verwendet, das mithilfe von Bluetooth gesperrt wurde, um das Vorhandensein / Fehlen meines Telefons zu erkennen.
Drake Clarris
Wenn mein Google-Passwort der Schlüssel ist, der zum Entschlüsseln der anderen Passwörter verwendet wird, die Google für mich speichert, muss Google dann nicht jedes Mal nach meinem Google-Passwort fragen, wenn ein anderes Passwort automatisch ausgefüllt werden soll? Da sie dies nicht tun, denke ich, dass mein Google-Passwort nicht der Schlüssel ist, da Google angeblich mein tatsächliches Google-Passwort nirgendwo speichert. Also, was ist der Schlüssel?
Chris Morris
Ihre lokale Instanz von Chrome speichert eine Kopie aller Kennwörter. Ich bin kein Experte dafür, wie genau dieses System funktioniert, und es kann sich mit der Zeit erheblich ändern. Soweit mir bekannt ist, muss Ihr Google-Passwort (oder ein anderer Schlüssel, falls Sie einen eingerichtet haben) verwendet werden, um Ihre Daten zu entschlüsseln, wenn Sie eine Chrome-Installation zum ersten Mal initialisieren. Ich gehe davon aus, dass Ihr Computer das Passwort oder den Schlüssel für eine spätere Verwendung speichert, sodass Sie es nicht erneut eingeben müssen, es jedoch nicht auf dem Server von Google gespeichert wird.
Zeel
13

Eigentlich ist es ziemlich trivial, Kennwörter von den meisten Browsern abzurufen. Der Artikel zur Sicherheit von verrückten Passwörtern wurde von jemandem geschrieben, der hauptsächlich Safari verwendet, und scheint der Meinung zu sein, dass dies der richtige Weg ist. Dies ist Sicherheit auf Benutzerebene durch Unbekanntheit. Die Person, die das Thema angesprochen ist ein Entwickler, der hauptsächlich iOS tut, OS X und Web - Entwicklung, nicht Sicherheit Entwicklung, und Sie können lesen möchten Googles counterarguement zu

Unter Windows kann ich mit diesem Tool von Nirsoft alle Ihre Kennwörter von mehreren Browsern aus überprüfen . Wenn jemand physischen Zugriff auf Ihr System hat, ist es zu spät.

Und nein, es ist unwahrscheinlich, dass Google seinen Mitarbeitern erlaubt, Ihre Passwörter anzuzeigen - der eigentliche Synchronisierungsteil des Browsers ist verschlüsselt - entweder mit Ihren Anmeldeinformationen oder Ihrer eigenen Passphrase. Google als solches hat keine unverschlüsselte Kopie Ihres Passworts. Es ist eine gute Praxis, da es das Auslaufen besagter Passwörter, die Versuchung, ein wenig Liebe zu üben , und die Forderung der Regierungen, dass Google Passwörter übergibt, verhindert. Sie können nicht klappern, was Sie nicht wissen.

Wenn Sie sich wirklich Sorgen machen, verwenden Sie einfach einen Kennwort-Manager eines Drittanbieters und synchronisieren Sie ihn, wie Sie möchten, oder verwenden Sie einen weniger verbreiteten Webbrowser (der von diesen Tools nicht unterstützt wird) mit einem Hauptkennwort. Nichtsdestotrotz ist das Argument, dass die Speicherung von Klartextkennwörtern in Zeiten, in denen GPU-beschleunigtes Knacken von Kennwörtern verfügbar ist, nicht sehr nützlich .

Geselle Geek
quelle
8

Theoretisch nicht. Weitere Informationen finden Sie unter https://support.google.com/chrome/answer/1181035. Grundsätzlich werden Ihre synchronisierten Daten (Passwörter, Lesezeichen, Verlauf usw.) verschlüsselt, bevor sie an die Server von Google gesendet werden. Die Verschlüsselung verwendet entweder Ihr Google-Konto-Passwort oder ein separates Passwort, das Sie nur zum Zwecke der Synchronisierung auswählen. Um die Synchronisierung aufrechtzuerhalten, ohne das Kennwort ständig eingeben zu müssen, muss das Synchronisierungskennwort auf Ihrem lokalen Computer gespeichert sein.

Damit ein Google-Mitarbeiter Ihre Passwörter sehen kann (vorausgesetzt, er hat keinen Zugriff auf Ihren lokalen Computer), muss er das Passwort des Google-Kontos oder Ihr Synchronisierungspasswort kennen. Ich gehe davon aus, dass das Passwort des Google-Kontos auf ihrer Seite in einer Art Hash-Form gespeichert ist, sodass sie Ihre synchronisierten Daten nicht ohne Weiteres entschlüsseln können.

Um klar zu sein, gibt es zwei unterschiedliche Probleme beim Speichern von Passwörtern, wenn es um Chrome geht. Zum einen werden Kennwörter lokal gespeichert, und über Ihre verschiedenen Links erfahren Sie, wie diese Kennwörter einfach angezeigt werden können, wenn jemand auf Ihr lokales Konto zugreifen kann . Das andere Problem, das ich oben besprochen habe, ist, wie Passwörter an die Server von Google gesendet werden, damit sie für mehrere Chrome-Installationen verfügbar sind.

jjlin
quelle
1
Um die Antwort von jjlin zu ergänzen: Dies bedeutet keinen physischen Zugriff, sondern nur, dass eine Person auf eine Datei auf Ihrem Computer zugreifen kann (z. B. auf einen Virus)
Jon,