Können Google-Mitarbeiter meine gespeicherten Google Chrome-Passwörter anzeigen?
Das Speichern Ihrer Passwörter in Ihrem Webbrowser scheint eine große Zeitersparnis zu sein, aber die Passwörter sind für andere Personen (sogar Mitarbeiter des Browser-Unternehmens) sicher und unzugänglich, wenn sie weggespült werden?
Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.
Die Frage
Super User-MMA ist neugierig, ob Google-Mitarbeiter Zugriff auf die in Google Chrome gespeicherten Kennwörter haben (oder haben könnten):
Ich verstehe, dass wir wirklich versucht sind, unsere Passwörter in Google Chrome zu speichern. Der wahrscheinliche Vorteil ist zweifach,
- Sie müssen diese langen und kryptischen Passwörter nicht (auswendig lernen und) eingeben.
- Diese sind überall verfügbar, wenn Sie sich bei Ihrem Google-Konto angemeldet haben.
Der letzte Punkt löste meinen Zweifel aus. Da ist das Passwort verfügbar irgendwo, Der Speicher muss sich an einem zentralen Ort befinden, und dies sollte bei Google sein.
Nun, meine einfache Frage ist, ob ein Google-Mitarbeiter meine Passwörter sehen kann?
Bei der Suche über das Internet wurden mehrere Artikel / Nachrichten gefunden.
- Speichern Sie Kennwörter in Chrome? Vielleicht sollten Sie es sich noch einmal überlegen: Spricht darüber, dass Ihre Passwörter von jemandem gestohlen werden, der Zugriff auf Ihr Computerkonto hat. Über die zentrale Speichersicherheit und -anfälligkeit wurde nichts erwähnt. Es gibt sogar eine Antwort von der Chrome-Browser-Sicherheitstechnologie, die das erste Problem betrifft.
- Die verrückte Passwortsicherheitsstrategie von Chrome: Meistens auf der gleichen Linie. Sie können ein Kennwort von jemandem stehlen, wenn Sie Zugriff auf das Computerkonto haben.
- So stehlen Sie in Google Chrome gespeicherte Kennwörter in 5 einfachen Schritten: In diesem Abschnitt erfahren Sie, wie Sie das tatsächlich ausführen Handlung Wenn Sie Zugriff auf das Konto eines anderen Benutzers haben, werden Sie in den beiden vorigen Seiten erwähnt.
Es gibt viel mehr (einschließlich dieses bei Diese Seite), meistens auf derselben Linie, Punkte, Kontrapunkte, große Debatten. Ich erwähne sie hier nicht, mache einfach eine Suche, wenn du sie finden willst.
Kann ich bei meiner ursprünglichen Anfrage mein Google-Passwort sehen? Da ich das Passwort mit einer einfachen Schaltfläche anzeigen kann, können sie definitiv unbehindert (entschlüsselt) werden, selbst wenn sie verschlüsselt sind. Dies unterscheidet sich sehr von den Kennwörtern, die in Unix-ähnlichen Betriebssystemen gespeichert sind, bei denen das gespeicherte Kennwort niemals im Klartext angezeigt wird.
Sie verwenden einen einseitigen Verschlüsselungsalgorithmus, um Ihre Passwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der Passwd- oder Shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es dasselbe Passwort sein, und Sie haben Zugriff. So kann ein Superuser mein Passwort ändern, kann mein Konto sperren, aber er kann mein Passwort nie sehen.
So sind seine Bedenken begründet oder werden ein wenig Einsicht seine Sorgen zerstreuen?
Die Antwort
Super-User-Mitwirkender Zeel hilft, seine Gedanken zu beruhigen:
Kurze Antwort: Nein *
Passwörter, die auf Ihrem lokalen Computer gespeichert sind, können von Chrome entschlüsselt werden, sofern Ihr Betriebssystembenutzerkonto angemeldet ist. Anschließend können Sie sie in Klartext anzeigen. Zunächst erscheint das schrecklich, aber wie haben Sie gedacht, dass das automatische Füllen funktioniert? Wenn dieses Kennwortfeld ausgefüllt wird, muss Chrome das echte Kennwort in das HTML-Formularelement einfügen. Andernfalls funktioniert die Seite nicht richtig und Sie können das Formular nicht senden. Wenn die Verbindung zur Website nicht über HTTPS erfolgt, wird der Klartext dann über das Internet gesendet. Mit anderen Worten, wenn Chrome die Klartextpasswörter nicht erhalten kann, sind sie völlig unbrauchbar. Ein Einweg-Hash ist nicht gut, weil wir sie verwenden müssen.
Jetzt sind die Passwörter tatsächlich verschlüsselt. Die einzige Möglichkeit, sie wieder in Klartext zu bringen, ist der Entschlüsselungsschlüssel. Dieser Schlüssel ist Ihr Google-Passwort oder ein sekundärer Schlüssel, den Sie einrichten können. Wenn Sie sich bei Chrome anmelden und synchronisieren, übertragen die Google-Server die verschlüsselt Kennwörter, Einstellungen, Lesezeichen, automatisches Ausfüllen usw. auf Ihrem lokalen Computer. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.
Auf Google-Seite werden alle diese Informationen verschlüsselt gespeichert und verfügen nicht über den Schlüssel, um sie zu entschlüsseln. Ihr Kontokennwort wird mit einem Hash verglichen, um sich bei Google anzumelden, und selbst wenn Sie Chrome dies merken, wird die verschlüsselte Version im selben Bundle wie die anderen Kennwörter versteckt und kann nicht aufgerufen werden. Ein Mitarbeiter könnte sich also wahrscheinlich einen Dump der verschlüsselten Daten holen, aber es würde ihnen nichts nützen, da er sie nicht verwenden kann. *
Nein, Google-Mitarbeiter können nicht auf Ihre Passwörter zugreifen, da sie auf ihren Servern verschlüsselt sind.
* Vergessen Sie jedoch nicht, dass auf ein System, auf das ein berechtigter Benutzer zugreifen kann, ein nicht autorisierter Benutzer Zugriff hat. Einige Systeme sind einfacher zu brechen als andere, aber keines ist ausfallsicher. Wenn ich jedoch sage, werde ich Google und den Millionen, die sie für Sicherheitssysteme ausgeben, gegenüber anderen Kennwortspeicherlösungen vertrauen. Und zum Teufel, ich bin ein schwacher Nerd, es wäre einfacher, die Passwörter aus mir zu schlagen, als die Verschlüsselung von Google zu brechen.
** Ich gehe auch davon aus, dass es niemanden gibt, der zufällig für Google arbeitet, um Zugang zu Ihrem lokalen Computer zu erhalten. In diesem Fall sind Sie vermasselt, aber die Beschäftigung bei Google spielt eigentlich keine Rolle mehr. Moralisch: Drücken Sie Win + L, bevor Sie die Maschine verlassen.
Obwohl wir uns mit Zeel einig sind, dass dies eine ziemlich sichere Sache ist (sofern Ihr Computer nicht gefährdet ist), dass Ihre Kennwörter tatsächlich sicher sind, während sie in Chrome gespeichert werden, bevorzugen wir es, alle Anmeldungen und Kennwörter in einem LastPass-Tresor zu verschlüsseln.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.