Ich verstehe, dass wir wirklich versucht sind, unsere Passwörter in Google Chrome zu speichern. Der wahrscheinliche Nutzen ist zweifach,
- Sie müssen diese langen und kryptischen Passwörter nicht auswendig lernen und eingeben.
- Diese sind überall verfügbar, sobald Sie sich in Ihrem Google-Konto angemeldet haben.
Der letzte Punkt hat meine Zweifel geweckt. Da das Passwort überall verfügbar ist , muss sich der Speicher an einem zentralen Ort befinden, und dies sollte bei Google sein.
Nun ist meine einfache Frage: Kann ein Google-Mitarbeiter meine Passwörter sehen?
Die Suche über das Internet ergab mehrere Artikel / Nachrichten.
- Speichern Sie Passwörter in Chrome? Vielleicht sollten Sie es sich noch einmal überlegen : Spricht darüber, dass Ihre Passwörter von jemandem gestohlen wurden, der Zugriff auf Ihr Computerkonto hat. Über die zentrale Speichersicherheit und Sicherheitslücke wurde nichts erwähnt. Es gibt sogar eine Antwort von Chrome Browser Security Tech Lead zum ersten Problem.
- Die verrückte Passwort-Sicherheitsstrategie von Chrome : Meistens in die gleiche Richtung. Sie können jemandem ein Passwort stehlen, wenn Sie Zugriff auf das Computerkonto haben.
- Wie klaut Passwörter Gespeichert in Google Chrome in 5 einfachen Schritten : Lehrt Euch , wie man tatsächlich das ausführen Akt in den beiden vorangegangenen erwähnt , wenn Sie den Zugriff auf jemand anderes Konto.
Es gibt viel mehr (einschließlich dieses auf dieser Seite ), meistens entlang derselben Linie, Punkte, Gegenpunkte, große Debatten. Ich verzichte darauf, sie hier zu erwähnen, sondern führe einfach eine Suche durch, wenn du sie finden willst.
Kann ein Google-Mitarbeiter mein Passwort sehen, wenn er zu meiner ursprünglichen Abfrage zurückkehrt? Da ich das Passwort mit einem einfachen Knopf anzeigen kann, können sie definitiv entschlüsselt werden, auch wenn sie verschlüsselt sind. Dies unterscheidet sich stark von den Passwörtern, die in Unix-ähnlichen Betriebssystemen gespeichert wurden, in denen das gespeicherte Passwort niemals im Klartext angezeigt wird.
Sie verwenden einen Einweg-Verschlüsselungsalgorithmus , um Ihre Passwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der passwd- oder shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es dasselbe Passwort sein, und Ihnen wird der Zugriff gewährt. So kann ein Superuser mein Passwort ändern, mein Konto sperren, aber er kann mein Passwort nie sehen.
quelle
Antworten:
Kurze Antwort: Nein *
Passwörter, die auf Ihrem lokalen Computer gespeichert sind, können von Chrome entschlüsselt werden, solange Ihr Betriebssystem-Benutzerkonto angemeldet ist. Anschließend können Sie diese Passwörter im Nur-Text-Format anzeigen. Das scheint zunächst schrecklich, aber wie hat das automatische Ausfüllen funktioniert? Wenn dieses Kennwortfeld ausgefüllt wird, muss Chrome das tatsächliche Kennwort in das HTML-Formularelement einfügen. Andernfalls funktioniert die Seite nicht ordnungsgemäß und Sie können das Formular nicht senden. Wenn die Verbindung zur Website nicht über HTTPS hergestellt wird, wird der Klartext über das Internet gesendet. Mit anderen Worten, wenn Chrome die Klartext-Passwörter nicht abrufen kann, sind sie völlig nutzlos. Ein One-Way-Hash ist nicht gut, weil wir sie verwenden müssen.
Jetzt sind die Passwörter tatsächlich verschlüsselt. Die einzige Möglichkeit, sie wieder in Klartext umzuwandeln, besteht darin, den Entschlüsselungsschlüssel zu haben. Dieser Schlüssel ist Ihr Google-Passwort oder ein Sekundärschlüssel, den Sie einrichten können. Wenn Sie sich in Chrome anmelden und die Google-Server synchronisieren, werden die verschlüsselten Passwörter, Einstellungen, Lesezeichen, das automatische Ausfüllen usw. an Ihren lokalen Computer übertragen. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.
Am Ende werden alle diese Informationen in ihrem verschlüsselten Zustand gespeichert und sie haben nicht den Schlüssel, um sie zu entschlüsseln. Das Passwort Ihres Kontos wird auf einen Hash überprüft, um sich bei Google anzumelden. Selbst wenn Sie Chrome daran erinnern, wird diese verschlüsselte Version im selben Paket wie die anderen Passwörter versteckt, auf die kein Zugriff möglich ist. Ein Mitarbeiter könnte also wahrscheinlich einen Speicherauszug der verschlüsselten Daten abrufen, aber das würde ihnen nichts nützen, da er keine Möglichkeit hätte, sie zu verwenden. *
Nein, Google-Mitarbeiter ** können nicht auf Ihre Passwörter zugreifen, da sie auf ihren Servern verschlüsselt sind.
* Vergessen Sie jedoch nicht, dass ein nicht autorisierter Benutzer auf jedes System zugreifen kann, auf das ein autorisierter Benutzer zugreifen kann. Einige Systeme sind leichter zu brechen als andere, aber keines ist ausfallsicher. . . Abgesehen davon glaube ich, dass ich Google und den Millionen, die sie für Sicherheitssysteme ausgeben, gegenüber jeder anderen Lösung zur Speicherung von Passwörtern vertrauen werde. Und Teufel, ich bin ein wimpy nerd, wäre es einfacher, zu schlagen , die Passwörter aus mir als Pause von Google - Verschlüsselung.
** Ich gehe auch davon aus, dass es keine Person gibt, die zufällig für Google arbeitet und Zugriff auf Ihren lokalen Computer erhält. In diesem Fall sind Sie geschraubt, aber eine Anstellung bei Google spielt eigentlich keine Rolle mehr. Moral: Drücken Sie Win+, Lbevor Sie die Maschine verlassen.
quelle
Eigentlich ist es ziemlich trivial, Kennwörter von den meisten Browsern abzurufen. Der Artikel zur Sicherheit von verrückten Passwörtern wurde von jemandem geschrieben, der hauptsächlich Safari verwendet, und scheint der Meinung zu sein, dass dies der richtige Weg ist. Dies ist Sicherheit auf Benutzerebene durch Unbekanntheit. Die Person, die das Thema angesprochen ist ein Entwickler, der hauptsächlich iOS tut, OS X und Web - Entwicklung, nicht Sicherheit Entwicklung, und Sie können lesen möchten Googles counterarguement zu
Unter Windows kann ich mit diesem Tool von Nirsoft alle Ihre Kennwörter von mehreren Browsern aus überprüfen . Wenn jemand physischen Zugriff auf Ihr System hat, ist es zu spät.
Und nein, es ist unwahrscheinlich, dass Google seinen Mitarbeitern erlaubt, Ihre Passwörter anzuzeigen - der eigentliche Synchronisierungsteil des Browsers ist verschlüsselt - entweder mit Ihren Anmeldeinformationen oder Ihrer eigenen Passphrase. Google als solches hat keine unverschlüsselte Kopie Ihres Passworts. Es ist eine gute Praxis, da es das Auslaufen besagter Passwörter, die Versuchung, ein wenig Liebe zu üben , und die Forderung der Regierungen, dass Google Passwörter übergibt, verhindert. Sie können nicht klappern, was Sie nicht wissen.
Wenn Sie sich wirklich Sorgen machen, verwenden Sie einfach einen Kennwort-Manager eines Drittanbieters und synchronisieren Sie ihn, wie Sie möchten, oder verwenden Sie einen weniger verbreiteten Webbrowser (der von diesen Tools nicht unterstützt wird) mit einem Hauptkennwort. Nichtsdestotrotz ist das Argument, dass die Speicherung von Klartextkennwörtern in Zeiten, in denen GPU-beschleunigtes Knacken von Kennwörtern verfügbar ist, nicht sehr nützlich .
quelle
Theoretisch nicht. Weitere Informationen finden Sie unter https://support.google.com/chrome/answer/1181035. Grundsätzlich werden Ihre synchronisierten Daten (Passwörter, Lesezeichen, Verlauf usw.) verschlüsselt, bevor sie an die Server von Google gesendet werden. Die Verschlüsselung verwendet entweder Ihr Google-Konto-Passwort oder ein separates Passwort, das Sie nur zum Zwecke der Synchronisierung auswählen. Um die Synchronisierung aufrechtzuerhalten, ohne das Kennwort ständig eingeben zu müssen, muss das Synchronisierungskennwort auf Ihrem lokalen Computer gespeichert sein.
Damit ein Google-Mitarbeiter Ihre Passwörter sehen kann (vorausgesetzt, er hat keinen Zugriff auf Ihren lokalen Computer), muss er das Passwort des Google-Kontos oder Ihr Synchronisierungspasswort kennen. Ich gehe davon aus, dass das Passwort des Google-Kontos auf ihrer Seite in einer Art Hash-Form gespeichert ist, sodass sie Ihre synchronisierten Daten nicht ohne Weiteres entschlüsseln können.
Um klar zu sein, gibt es zwei unterschiedliche Probleme beim Speichern von Passwörtern, wenn es um Chrome geht. Zum einen werden Kennwörter lokal gespeichert, und über Ihre verschiedenen Links erfahren Sie, wie diese Kennwörter einfach angezeigt werden können, wenn jemand auf Ihr lokales Konto zugreifen kann . Das andere Problem, das ich oben besprochen habe, ist, wie Passwörter an die Server von Google gesendet werden, damit sie für mehrere Chrome-Installationen verfügbar sind.
quelle