พนักงาน Google สามารถดูรหัสผ่านของฉันที่บันทึกไว้ใน Google Chrome ได้หรือไม่

34

ฉันเข้าใจว่าเราถูกล่อลวงให้บันทึกรหัสผ่านของเราใน Google Chrome ประโยชน์ที่จะได้รับคือสองเท่า

  • คุณไม่จำเป็นต้อง (จดจำและ) ป้อนรหัสผ่านที่ยาวและเป็นความลับเหล่านั้น
  • สิ่งเหล่านี้สามารถใช้ได้ทุกเมื่อที่คุณลงชื่อเข้าใช้บัญชี Google ของคุณ

จุดสุดท้ายจุดประกายความสงสัยของฉัน เนื่องจากรหัสผ่านสามารถใช้งานได้ทุกที่พื้นที่เก็บข้อมูลจึงต้องอยู่ในตำแหน่งศูนย์กลางและควรเป็นที่ Google

ตอนนี้คำถามง่ายๆของฉันคือพนักงาน Google สามารถดูรหัสผ่านของฉันได้หรือไม่

การค้นหาทางอินเทอร์เน็ตได้เปิดเผยบทความ / ข้อความหลายรายการ

มีอีกมากมาย (รวมถึงสิ่งนี้ที่ไซต์นี้ ) ซึ่งส่วนใหญ่เป็นไปตามบรรทัดเดียวกันคะแนนการนับคะแนนการโต้วาทีครั้งใหญ่ ฉันละเว้นจากการกล่าวถึงที่นี่เพียงดำเนินการค้นหาหากคุณต้องการค้นหา

กลับมาที่ข้อความค้นหาเดิมพนักงาน Google สามารถเห็นรหัสผ่านของฉันได้หรือไม่ เนื่องจากฉันสามารถดูรหัสผ่านโดยใช้ปุ่มแบบง่ายแน่นอนพวกเขาสามารถ unhashed (ถอดรหัส) แม้ว่าจะเข้ารหัส สิ่งนี้แตกต่างจากรหัสผ่านที่บันทึกในระบบปฏิบัติการ Unix ที่ไม่สามารถมองเห็นรหัสผ่านที่บันทึกไว้เป็นข้อความธรรมดาได้

พวกเขาใช้อัลกอริทึมการเข้ารหัสทางเดียวเพื่อเข้ารหัสรหัสผ่านของคุณ รหัสผ่านที่เข้ารหัสนี้จะถูกเก็บไว้ในไฟล์ passwd หรือ shadow เมื่อคุณพยายามที่จะเข้าสู่ระบบรหัสผ่านที่คุณพิมพ์จะถูกเข้ารหัสอีกครั้งและเปรียบเทียบกับรายการในไฟล์ที่เก็บรหัสผ่านของคุณ หากตรงกันจะต้องเป็นรหัสผ่านเดียวกันและคุณได้รับอนุญาตให้เข้าถึงได้ ดังนั้น superuser สามารถเปลี่ยนรหัสผ่านของฉันสามารถบล็อกบัญชีของฉัน แต่เขาไม่เคยเห็นรหัสผ่านของฉัน

google-chrome  security  passwords  encryption 
Masroor
แหล่งที่มา
6
คุณไม่สามารถ““ ปลด” สตริง ฟังก์ชั่นแฮชการเข้ารหัสลับเป็นวิธีการเดียวที่ถูกออกแบบมาให้เป็นไปไม่ได้ * nix““ อัลกอริทึมการเข้ารหัสทางเดียว”” เป็นฟังก์ชันแฮช
แบล็กไลท์ส่องแสง
ขอบคุณฉันถูกพาไป ฉันต้องการหมายถึงถอดรหัส
Masroor
ตราบใดที่รหัสผ่านเหล่านั้นไม่ได้ใช้สำหรับ WiFi บน Android คุณก็ควรบันทึก ฉันจะพูดแบบนี้เพราะ Google รู้ว่า WiFi ของคุณใช้กับ Android แล้ว
คณิตศาสตร์
@ แม ธ คุณต้องการที่จะอธิบายรายละเอียดเล็กน้อยหรือไม่? อย่างใดล้มเหลวในการทำความเข้าใจอย่างเต็มที่
Masroor
มีเว็บไซต์ข่าวจำนวนมากที่เกี่ยวข้องกับหัวข้อนี้เพียงแค่ใช้เครื่องค้นหาด้วย: "เสร็จแล้วรหัสผ่าน google android" เช่นgizmodo.com/
คณิตศาสตร์

คำตอบ:

34

คำตอบสั้น ๆ : ไม่*

รหัสผ่านที่เก็บไว้ในเครื่องท้องถิ่นของคุณสามารถถอดรหัสได้โดย Chrome ตราบใดที่บัญชีผู้ใช้ระบบปฏิบัติการของคุณลงชื่อเข้าใช้จากนั้นคุณสามารถดูรหัสผ่านได้ ในตอนแรกมันดูน่ากลัว แต่คุณคิดว่าการเติมอัตโนมัติทำได้อย่างไร เมื่อกรอกรหัสผ่านแล้ว Chrome ต้องแทรกรหัสผ่านจริงลงในองค์ประกอบของรูปแบบ HTML มิฉะนั้นหน้าเว็บจะทำงานไม่ถูกต้องและคุณไม่สามารถส่งแบบฟอร์มได้ และหากการเชื่อมต่อกับเว็บไซต์ไม่ผ่าน HTTPS ข้อความล้วนจะถูกส่งผ่านอินเทอร์เน็ต กล่าวอีกนัยหนึ่งถ้า Chrome ไม่สามารถรับรหัสผ่านแบบข้อความธรรมดาได้พวกเขาจะไร้ประโยชน์โดยสิ้นเชิง แฮชทางเดียวไม่ดีเพราะเราต้องใช้มัน

ตอนนี้รหัสผ่านนั้นถูกเข้ารหัสจริงแล้ววิธีเดียวที่จะนำพวกเขากลับไปที่ข้อความล้วนคือมีคีย์ถอดรหัส รหัสนั้นเป็นรหัสผ่าน Google ของคุณหรือรหัสรองที่คุณสามารถตั้งค่าได้ เมื่อคุณลงชื่อเข้าใช้ Chrome และซิงค์เซิร์ฟเวอร์ของ Google จะส่งเข้ารหัสรหัสผ่านการตั้งค่าบุ๊คมาร์คอัตโนมัติกรอก ฯลฯ ไปยังเครื่องท้องถิ่นของคุณ ที่นี่ Chrome จะถอดรหัสข้อมูลและสามารถใช้งานได้

ในตอนท้ายของ Google ข้อมูลทั้งหมดจะถูกเก็บไว้ในสถานะเข้ารหัสและพวกเขาไม่มีกุญแจในการถอดรหัส รหัสผ่านบัญชีของคุณถูกตรวจสอบกับแฮชเพื่อเข้าสู่ Google และแม้ว่าคุณจะปล่อยให้โครเมี่ยมจำได้ แต่รุ่นเข้ารหัสนั้นถูกซ่อนอยู่ในชุดเดียวกับรหัสผ่านอื่น ๆ ซึ่งเป็นไปไม่ได้ที่จะเข้าถึง ดังนั้นพนักงานอาจคว้าข้อมูลที่เข้ารหัส แต่มันจะไม่ทำสิ่งที่ดีเพราะพวกเขาจะไม่มีวิธีใช้ * * * *

ดังนั้นไม่มีพนักงานของ Google ไม่สามารถ**การเข้าถึงรหัสผ่านของคุณเนื่องจากพวกเขาจะถูกเข้ารหัสบนเซิร์ฟเวอร์ของตน

* อย่างไรก็ตามอย่าลืมว่าระบบใด ๆ ที่สามารถเข้าถึงได้โดยผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงได้โดยผู้ใช้ที่ไม่ได้รับอนุญาต ระบบบางระบบสามารถแตกหักได้ง่ายกว่าระบบอื่น ๆ . . ที่ถูกกล่าวว่าฉันคิดว่าฉันจะไว้วางใจ Google และล้านที่พวกเขาใช้จ่ายในระบบรักษาความปลอดภัยมากกว่าโซลูชั่นการจัดเก็บรหัสผ่านอื่น และห่าฉันเป็นคนงี่เง่าโง่มันจะง่ายกว่าที่จะเอาชนะรหัสผ่านของฉันได้ดีกว่าการเข้ารหัสของ Google

** ฉันกำลังสมมติว่าไม่มีบุคคลที่เพิ่งทำงานเพื่อให้ Google เข้าถึงเครื่องในท้องถิ่นของคุณ ในกรณีนี้คุณรู้สึกเมา แต่การจ้างงานที่ Google ไม่ได้เป็นปัจจัยอีกต่อไป คุณธรรม:กดWin+ Lก่อนออกจากเครื่อง

zeel
แหล่งที่มา
3
Win + L ไม่ทำงานสำหรับฉันตั้งแต่ฉันเป็นผู้ใช้ Linux แต่ขอบคุณฉันอยู่ในนิสัยที่ไม่เคยล็อคเครื่องเมื่อออกจาก
Masroor
มันเป็นความรู้สึกที่สำคัญ และสำหรับผู้ใช้ที่ไม่ใช่ windows ฉันแน่ใจว่ามีวิธีง่ายๆในการสร้างฮอตคีย์ล็อค
เซล์
6
linux ส่วนใหญ่ใช้ Ctl-Alt-L เพื่อล็อคเครื่อง ฉันยังเคยใช้ยูทิลิตี้ที่ล็อคโดยใช้บลูทู ธ เพื่อตรวจจับว่ามี / ไม่มีโทรศัพท์อยู่หรือไม่
Drake Clarris
หากรหัสผ่าน Google ของฉันเป็นกุญแจสำคัญในการถอดรหัสรหัสผ่านอื่น ๆ ที่ Google จัดเก็บไว้ให้ฉัน Google จะไม่ขอรหัสผ่าน Google ของฉันทุกครั้งที่พวกเขาต้องการเติมรหัสผ่านอื่นของฉันโดยอัตโนมัติหรือไม่ เนื่องจากพวกเขาไม่ทำสิ่งนี้ทำให้ฉันคิดว่ารหัสผ่าน Google ของฉันไม่ใช่กุญแจเนื่องจาก Google ควรจะไม่เก็บรหัสผ่าน Google จริงของฉันไว้ที่ใดก็ได้ ดังนั้นกุญแจคืออะไร?
Chris Morris
Chrome ในพื้นที่ของคุณเก็บสำเนารหัสผ่านทั้งหมดไว้ ฉันไม่ใช่ผู้เชี่ยวชาญเกี่ยวกับการทำงานของระบบนี้อย่างแน่นอนและอาจมีการเปลี่ยนแปลงอย่างมีนัยสำคัญเมื่อเวลาผ่านไป เท่าที่ฉันทราบรหัสผ่าน Google ของคุณ (หรือคีย์อื่น ๆ หากคุณตั้งค่าไว้) จะต้องใช้ในการถอดรหัสข้อมูลของคุณเมื่อคุณเริ่มต้นการติดตั้ง Chrome ครั้งแรก ฉันถือว่าเครื่องของคุณเก็บรหัสผ่านหรือกุญแจไว้ใช้ในอนาคตดังนั้นคุณไม่จำเป็นต้องป้อนรหัสใหม่อีกครั้ง แต่ไม่ได้เก็บไว้ในเซิร์ฟเวอร์ของ Google
zeel
13

ที่จริงแล้วมันค่อนข้างเล็กน้อยในการเรียกรหัสผ่านจากเบราว์เซอร์ส่วนใหญ่ บทความความปลอดภัยของรหัสผ่านบ้าถูกเขียนโดยคนที่ใช้ Safari เป็นหลักและดูเหมือนว่าจะมีวิธีที่ถูกต้อง นี่คือการรักษาความปลอดภัยระดับผู้ใช้โดยคลุมเครือ บุคคลที่นำประเด็นนี้มาเป็นนักพัฒนาซอฟต์แวร์ซึ่งส่วนใหญ่เป็น iOS, OS X และการพัฒนาเว็บไม่ใช่การพัฒนาด้านความปลอดภัยและคุณอาจต้องการอ่านการโต้แย้งของ Googleด้วย

ใน Windows เครื่องมือนี้จาก Nirsoftช่วยให้ฉันสามารถดักฟังรหัสผ่านทั้งหมดของคุณจากเบราว์เซอร์หลายตัว หากใครบางคนสามารถเข้าถึงระบบของคุณได้จริงมันก็สายเกินไป

และไม่น่าเป็นไปได้ที่ Google จะอนุญาตให้พนักงานเห็นรหัสผ่านของคุณ - ส่วนการซิงโครไนซ์จริงของเบราว์เซอร์ถูกเข้ารหัส - ไม่ว่าจะใช้ข้อมูลรับรองการเข้าสู่ระบบของคุณหรือข้อความรหัสผ่านของคุณเอง Google เช่นนั้นไม่มีสำเนารหัสผ่านของคุณ มันเป็นเรื่องการปฏิบัติที่ดีเพราะมันจะช่วยป้องกันการรั่วไหลของรหัสผ่านที่กล่าวว่าการทดลองที่จะทำเพียงเล็กน้อยloveintและจากรัฐบาลเพื่อเรียกร้องให้มือของ Google ในช่วงรหัสผ่าน คุณไม่สามารถเหน็ดเหนื่อยกับสิ่งที่คุณไม่รู้

หากคุณเป็นห่วงจริงๆให้ใช้ตัวจัดการรหัสผ่านของบุคคลที่สามและซิงค์ในแบบที่คุณเชื่อถือหรือใช้เว็บเบราว์เซอร์ทั่วไปที่ใช้น้อยกว่า (ซึ่งเครื่องมือเหล่านี้ไม่สนับสนุน) ด้วยรหัสผ่านหลัก อย่างไรก็ตามข้อโต้แย้งว่าการจัดเก็บรหัสผ่านข้อความธรรมดาไม่ได้เป็นประโยชน์อย่างมากในวันที่GPU เร่งการแตกรหัสผ่านใช้ได้

คนงาน Geek
แหล่งที่มา
8

ในทางทฤษฎีไม่ได้ ดูhttps://support.google.com/chrome/answer/1181035สำหรับรายละเอียดเพิ่มเติม แต่โดยทั่วไปข้อมูลที่ซิงค์ของคุณ (รหัสผ่านบุ๊กมาร์กประวัติ ฯลฯ ) จะถูกเข้ารหัสก่อนที่จะถูกส่งไปยังเซิร์ฟเวอร์ของ Google การเข้ารหัสใช้รหัสผ่านบัญชี Google ของคุณหรือรหัสผ่านแยกต่างหากที่คุณเลือกเพื่อการซิงค์ เพื่อให้การซิงค์สิ่งต่าง ๆ โดยไม่ต้องพิมพ์รหัสผ่านนั้นตลอดเวลาจำเป็นต้องจัดเก็บรหัสผ่านการซิงค์ไว้ในคอมพิวเตอร์ของคุณ

เพื่อให้พนักงาน Google เห็นรหัสผ่านของคุณ (สมมติว่าพวกเขาไม่มีสิทธิ์เข้าถึงเครื่องท้องถิ่นของคุณ) พวกเขาจำเป็นต้องรู้รหัสผ่านบัญชี Google หรือรหัสผ่านการซิงค์ของคุณ ฉันสมมติว่ารหัสผ่านบัญชี Google ถูกเก็บไว้ในรูปแบบแฮชบางประเภทที่ด้านข้างของพวกเขาเพื่อที่จะไม่ให้พวกเขาถอดรหัสข้อมูลที่ซิงค์ของคุณได้อย่างง่ายดาย

เพื่อให้ชัดเจนมีปัญหาเกี่ยวกับการจัดเก็บรหัสผ่านที่แตกต่างกันสองประการเมื่อพูดถึง Chrome หนึ่งคือวิธีการจัดเก็บรหัสผ่านในเครื่องและลิงก์ต่าง ๆ ของคุณพูดถึงวิธีการดูรหัสผ่านเหล่านั้นได้อย่างง่ายดายหากมีคนสามารถเข้าถึงบัญชีท้องถิ่นของคุณ ปัญหาอื่น ๆ คือสิ่งที่ฉันได้กล่าวถึงข้างต้นคือวิธีการส่งรหัสผ่านไปยังเซิร์ฟเวอร์ของ Google เพื่อให้สามารถใช้ได้ในการติดตั้ง Chrome หลายครั้ง

jjlin
แหล่งที่มา
1
หากต้องการเพิ่มคำตอบของ jjlin: นี่ไม่ได้หมายความว่าทางกายภาพเข้าถึงมันก็หมายความว่าการเข้าถึงในบางวิธีที่ช่วยให้เข้าถึงคนไปยังแฟ้มบนคอมพิวเตอร์ของคุณ (เช่นไวรัส)
จอน
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.