Google Dipendenti può vedere le mie password Google Chrome salvate?
Memorizzare le tue password nel tuo browser web sembra un grande risparmio di tempo, ma le password sono sicure e inaccessibili agli altri (anche ai dipendenti dell'azienda del browser) quando vengono allontanate?
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di siti Web di domande e risposte basato sulla comunità.
La domanda
Lettore SuperUser MMA è curioso se i dipendenti di Google hanno (o potrebbero avere) accesso alle password memorizzate in Google Chrome:
Capisco che siamo davvero tentati di salvare le nostre password in Google Chrome. Il probabile beneficio è due volte,
- Non è necessario (memorizzare e) inserire quelle password lunghe e criptiche.
- Questi sono disponibili ovunque tu sia una volta che accedi al tuo account Google.
L'ultimo punto ha scatenato il mio dubbio. Poiché la password è disponibile in qualunque posto, lo spazio di archiviazione deve essere in una posizione centrale e questo dovrebbe essere su Google.
Ora, la mia semplice domanda è: un dipendente di Google può vedere le mie password?
La ricerca su Internet ha rivelato diversi articoli / messaggi.
- Salva le password in Chrome? Forse dovresti riconsiderare: parla delle tue password rubate da qualcuno che ha accesso al tuo account computer. Nulla di menzionato sulla sicurezza dello storage centrale e la vulnerabilità. C'è anche una risposta da parte del responsabile della sicurezza del browser Chrome riguardo al primo problema.
- La folle strategia di sicurezza della password di Chrome: principalmente sulla stessa linea. Puoi rubare la password da qualcuno se hai accesso all'account del computer.
- Come rubare password salvate in Google Chrome in 5 semplici passaggi: ti insegna come effettivamente eseguire il atto menzionato nei due precedenti quando si ha accesso all'account di qualcun altro.
Ce ne sono molti altri (incluso questo a questo sito), per lo più lungo la stessa linea, punti, contro-punti, dibattiti enormi. Mi astengo dal menzionarli qui, porta semplicemente una ricerca se vuoi trovarli.
Tornando alla mia query originale, un dipendente di Google può vedere la mia password? Dato che posso visualizzare la password usando un semplice pulsante, sicuramente possono essere ignorati (decrittografati) anche se crittografati. Questo è molto diverso dalle password salvate in sistemi operativi Unix in cui la password salvata non può mai essere vista in chiaro.
Usano un algoritmo di crittografia unidirezionale per crittografare le tue password. Questa password crittografata viene quindi archiviata nel passwd o nel file shadow. Quando si tenta di accedere, la password digitata viene nuovamente crittografata e confrontata con la voce nel file che memorizza le password. Se corrispondono, deve essere la stessa password e l'accesso è consentito. Quindi, un superutente può cambiare la mia password, può bloccare il mio account, ma non può mai vedere la mia password.
Quindi le sue preoccupazioni sono ben fondate o una piccola intuizione dissiperà la sua preoccupazione?
La risposta
Il collaboratore di SuperUser, Zeel, aiuta a tranquillizzarlo:
Risposta breve: No *
Le password memorizzate sul tuo computer locale possono essere decodificate da Chrome, a condizione che l'account utente del sistema operativo abbia effettuato l'accesso. È quindi possibile visualizzarle in formato testo. All'inizio questo sembra orribile, ma come pensi abbia funzionato l'auto-riempimento? Quando il campo della password viene compilato, Chrome deve inserire la password reale nell'elemento del modulo HTML, altrimenti la pagina non funzionerà correttamente e non è possibile inviare il modulo. E se la connessione al sito Web non è su HTTPS, il testo in chiaro viene quindi inviato su Internet. In altre parole, se chrome non riesce a ottenere le password in testo semplice, allora sono totalmente inutili. Un hash a senso unico non va bene, perché dobbiamo usarli.
Ora le password sono in realtà crittografate, l'unico modo per riportarle in testo semplice è avere la chiave di decodifica. Quella chiave è la tua password Google o una chiave secondaria che puoi configurare. Quando accedi a Chrome e esegui la sincronizzazione, i server di Google trasmetteranno il criptato password, impostazioni, segnalibri, riempimento automatico, ecc., sulla macchina locale. Qui Chrome decodifica le informazioni ed è in grado di usarle.
Alla fine di Google tutte le informazioni sono memorizzate nel loro stato encrpyted, e non hanno la chiave per decodificarlo. La password del tuo account viene controllata con un hash per accedere a Google, e anche se lasci che Chrome lo ricordi, quella versione crittografata è nascosta nello stesso pacchetto delle altre password, a cui è impossibile accedere. Quindi un dipendente potrebbe probabilmente prendere una copia dei dati crittografati, ma non gli farebbe nulla di buono, dato che non avrebbero modo di usarlo. *
Quindi no, i dipendenti di Google non possono ** accedere alle tue password, poiché sono crittografate sui loro server.
* Tuttavia, non dimenticare che qualsiasi sistema a cui un utente autorizzato può accedere può accedere da un utente non autorizzato. Alcuni sistemi sono più facili da rompere rispetto ad altri, ma nessuno è a prova di errore ... Detto questo, penso che mi fiderò di Google e dei milioni che spendono sui sistemi di sicurezza, su qualsiasi altra soluzione di archiviazione delle password. E diamine, sono un secchione imbranato, sarebbe più facile sconfiggere le mie password piuttosto che rompere la crittografia di Google.
** Sto anche partendo dal presupposto che non c'è una persona che semplicemente funziona per Google che accede al tuo computer locale. In tal caso sei fregato, ma l'impiego presso Google non è più un fattore. Morale: premi Win + L prima di lasciare la macchina.
Mentre siamo d'accordo con zeel che è una scommessa abbastanza sicura (purché il tuo computer non sia compromesso) che le tue password siano sicure durante l'archiviazione in Chrome, preferiamo crittografare tutti i nostri login e password in un deposito LastPass.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.