ฉันใช้ Chrome และ Chrome Sync; Google เข้าถึงรหัสผ่านของฉันได้อย่างไร

33

ฉันใช้ Chrome (และ Chrome Sync) มาหลายปีแล้ว นั่นหมายความว่า Google เจ้าของ Chrome รู้รหัสผ่านทั้งหมดของฉันหรือไม่

ฉันถามเพราะฉันรู้ว่า Google เป็นเจ้าของ Chrome และเป็นเบราว์เซอร์แบบปิดซึ่งหมายความว่าอาจมีแบ็คดอร์บางประเภทที่อนุญาตให้เบราว์เซอร์รวบรวมรหัสผ่านของฉัน

นอกจากนี้ยังเป็นกรณีเดียวกันกับ Firefox หรือไม่

google-chrome  security  passwords  privacy 
Selin Peck
แหล่งที่มา
คุณยังไม่ได้ระบุว่าคุณลงชื่อเข้าใช้เบราว์เซอร์หรือไม่ หากคุณไม่ได้ลงชื่อเข้าใช้ Chrome การตั้งค่ารหัสผ่านและอื่น ๆ จะถูกบันทึกไว้ในเครื่องไม่ใช่ในระบบคลาวด์
ernie
5
@ernie เขาใช้ Sync ดังนั้นจึงไม่ใช่เครื่องทั้งหมด
Tim S.
4
Google รู้ทุกอย่าง หาก Google ไม่สามารถหาบางสิ่งได้แสดงว่าไม่มีอยู่จริง .. ;)
Sp0T

คำตอบ:

42

คำตอบสั้น ๆ ใช่ หากเปิดใช้งานการซิงค์และคุณเลือกที่จะบันทึกรหัสผ่านรหัสผ่านนั้นจะถูกส่งไปยังเซิร์ฟเวอร์ของ Google ที่กล่าวว่าข้อมูลถูกเข้ารหัสและการเข้าถึงนั้น จำกัด

โดยค่าเริ่มต้นGoogle จะเข้ารหัสข้อมูลที่ซิงค์ของคุณโดยใช้ข้อมูลประจำตัวของบัญชีของคุณ Google ระบุว่าข้อมูลนี้ไม่สามารถถอดรหัสได้หากไม่มีความรู้เกี่ยวกับรหัสผ่านของคุณและที่จริงแล้วเมื่อข้อมูลประจำตัวของคุณเปลี่ยนข้อมูลที่ซิงค์ทั้งหมดจะต้องถูกลบออกจากระบบของพวกเขาและจากนั้นสามารถซิงค์อีกครั้งจากอุปกรณ์ของคุณ เข้ารหัสใหม่ด้วยข้อมูลประจำตัวใหม่ของคุณ)

ดังนั้นหากทุกอย่างทำงานได้อย่างถูกต้อง Google ก็สามารถเชื่อถือได้และโครงสร้างพื้นฐานของ Google นั้นปลอดภัยพอที่จะทำให้บุคคลที่สามที่สนใจ (อ่าน NSA แฮกเกอร์อาชญากร ฯลฯ ) ข้อมูลของคุณปลอดภัย อย่างไรก็ตาม Google ยังคงมีความสามารถในการถอดรหัสข้อมูลของคุณแม้ว่าพวกเขาจะไม่ทราบก็ตาม นี่เป็นเพียงผลมาจากการที่พวกเขาเป็นฝ่ายสร้างรหัสตัวเลข (ข้อมูลประจำตัวของคุณ) ทำให้พวกเขาอยู่ในตำแหน่งที่จะบันทึกและอาจนำคีย์ไปใช้ในทางที่ผิด

ความไว้วางใจในระดับนี้มากกว่าที่ฉันต้องการวางไว้ในนั้นดังนั้นในสถานการณ์นี้ฉันจะเลือกที่จะไม่บันทึกรหัสผ่านหรือซิงค์ข้อมูลกับบริการของพวกเขา แต่นั่นเป็นเพียงการตั้งค่าของฉัน คนโง่เท่านั้นที่ไว้วางใจทุกคน แต่คนโง่ที่ยิ่งใหญ่ก็วางใจได้

Frank Thomas
แหล่งที่มา
11
เป็นมูลค่าการกล่าวขวัญว่าหน้าที่เชื่อมโยงอ่านแล้ว: "หรือคุณสามารถเลือกที่จะเข้ารหัสข้อมูลที่ซิงค์ทั้งหมดด้วยข้อความรหัสผ่านการซิงค์ข้อความรหัสผ่านการซิงค์นี้จะถูกเก็บไว้ในคอมพิวเตอร์ของคุณและไม่ได้ถูกส่งไปยัง Google"
and31415
2
@ Frankthomas: ฉันไม่เข้าใจ คุณสามารถเลือกวลีรหัสผ่านของคุณเองเมื่อทำการซิงค์ข้อมูล นั่นหมายความว่า Google ไม่ทราบวลีรหัสผ่านและดังนั้นจึงไม่สามารถถอดรหัสข้อมูล ... ใช่ไหม
Mehrdad
4
การใช้ Google Chrome สำหรับข้อมูลใด ๆที่ NSA อาจสนใจนั้นเป็นความผิดพลาดที่น่ากลัว
JonathanReez รองรับโมนิก้า
5
ใช่ถ้าคุณเข้ารหัสข้อมูลทั้งหมดที่คุณซิงค์ Google ระบุว่าการดำเนินการนั้นเกิดขึ้นกับฝั่งไคลเอ็นต์ทั้งหมดซึ่งในกรณีนี้พวกเขาจะไม่สามารถสรุปคีย์ได้อย่างง่ายดาย นั่นทำให้ปลอดภัย แต่ไม่ปลอดภัยต่อ เราไม่ทราบว่ามีการใช้รหัสใดไม่ว่าจะเป็นการรักษารหัสผ่านไว้ไม่ว่ารหัสของคุณจะเป็นรหัสเดียวหรือไม่ก็ตามกฎหมายของสหรัฐอเมริกาไม่อนุญาตให้บริการจัดเก็บข้อมูลที่เข้ารหัสซึ่งตนเองไม่สามารถเข้าถึงได้ คำขอตัดที่ถูกกฎหมาย
Frank Thomas
1
@ FrankThomas กฎหมายคืออะไร ฉันคิดว่ากฎคือถ้าฉันมีความสามารถด้านเทคนิคในการเข้าถึงข้อความธรรมดาของพวกเขาฉันต้องปฏิบัติตาม แต่การจัดเก็บ Blobs ที่เข้ารหัสซึ่งฉันไม่สามารถถอดรหัสนั้นไม่ผิดกฎหมาย แต่อย่างใด
สามสิบสาม
22

มันขึ้นอยู่กับคุณตั้งค่าการเข้ารหัส

  • เข้ารหัสรหัสผ่านที่ซิงค์กับข้อมูลรับรอง Google ของคุณ: นี่เป็นตัวเลือกเริ่มต้น รหัสผ่านที่คุณบันทึกไว้จะถูกเข้ารหัสในเซิร์ฟเวอร์ของ Google และได้รับการป้องกันด้วยข้อมูลรับรองบัญชี Google ของคุณ

ด้วยตัวเลือกนี้ Google สามารถเข้าถึงข้อมูลของคุณได้

  • เข้ารหัสข้อมูลที่ซิงค์ทั้งหมดด้วยข้อความรหัสผ่านการซิงค์ของคุณเอง: เลือกตัวเลือกนี้หากคุณต้องการเข้ารหัสข้อมูลทั้งหมดที่คุณเลือกที่จะซิงค์ คุณสามารถระบุข้อความรหัสผ่านของคุณเองซึ่งจะถูกเก็บไว้ในคอมพิวเตอร์ของคุณเท่านั้น

ด้วยตัวเลือกนี้ Google ไม่สามารถเข้าถึงข้อมูลของคุณได้โดยสมมติว่าพวกเขาซื่อสัตย์กับสิ่งที่เกิดขึ้นกับข้อความรหัสผ่านของคุณ (จะเกิดอะไรขึ้นถ้าคุณลืมข้อความรหัสผ่านของคุณทำให้ชัดเจนว่าพวกเขาไม่เก็บไว้เพื่อประโยชน์ของคุณ) ช่องโหว่บางช่อง (หรือแบ็คดอร์) ในการรักษาความปลอดภัยการซิงค์และข้อความรหัสผ่านของคุณปลอดภัยพอที่จะทนต่อการโจมตีด้วยเดรัจฉานโดย Google (รหัสผ่านดังกล่าวเป็นไปได้ แต่ผิดปกติมาก)

คุณสามารถลดโอกาสที่ Google จะสกัดกั้นรหัสผ่านของคุณโดยใช้เครื่องมือจัดการรหัสผ่านออฟไลน์เช่นKeePassร่วมกับ Chrome เป็นเบราว์เซอร์ของคุณ คุณสามารถลบโอกาสทั้งหมดได้โดยไม่ต้องใช้ผลิตภัณฑ์ของ Google อีกต่อไป (จะเป็นเช่นไรหากพวกเขารวมคีย์ล็อกเกอร์กับ Google Drive หรือ Chrome ด้วยและด้วย Gmail คำขอการรีเซ็ตรหัสผ่านอาจถูกขัดขวางไม่ทางใดก็ทางหนึ่ง แม้ว่ารหัสผ่านของคุณจะไม่สามารถติดตามได้)

ด้วย Firefox ความปลอดภัยของข้อมูลของคุณจะขึ้นอยู่กับความปลอดภัยของรหัสผ่านบัญชี Firefox ของคุณ หากคุณเลือกรหัสผ่านที่ดีมันเป็นไปไม่ได้สำหรับ Mozilla หรือใครก็ตามที่เข้าถึงรหัสผ่านของคุณ อย่างไรก็ตามสิ่งนี้ทำให้สันนิษฐานได้ว่า Mozilla นั้นซื่อตรงต่อการทำงานของระบบและไม่มีช่องโหว่ (หรือแบ็คดอร์) ในการรักษาความปลอดภัย คุณสามารถเพิ่มมาตรการรักษาความปลอดภัยเพิ่มเติมโดยใช้เซิร์ฟเวอร์ Sync ส่วนตัวของคุณเองแทนที่จะใช้ Mozilla เนื่องจาก Firefox เป็นโอเพ่นซอร์สและ Mozilla มีประวัติที่ดีกว่าเกี่ยวกับความเป็นส่วนตัวมากกว่าที่ Googleทำดังนั้นโอกาสของพวกเขาที่พยายามประนีประนอมข้อมูลของคุณดูเหมือนจะต่ำกว่ามาก

เลือกระดับความหวาดระแวงของคุณตามที่คุณต้องการและขึ้นอยู่กับความต้องการของคุณ ฉันจะไม่ใช้สิ่งใดกับ Google สำหรับความต้องการระดับ Snowden แต่สำหรับความต้องการความเป็นส่วนตัวทั่วไปฉันจะใช้ข้อความรหัสผ่านใน Google Sync อย่างน้อยที่สุด (เพื่อให้ผู้โจมตีที่เข้าถึงบัญชี Google ของคุณมีเลเยอร์อื่นเพื่อให้ผ่านก่อน มีรหัสผ่านของคุณ)

นอกจากนี้โปรดทราบว่าสิ่งเหล่านี้จะออกไปนอกหน้าต่างหากใครก็ตามสามารถติดตั้ง keylogger (อาจเสริมด้วยเครื่องขูดหน้าจอและเครื่องบันทึกการคลิกเมาส์เพื่อต่อสู้กับแป้นพิมพ์บนหน้าจอ) บนพีซีของคุณ

ทิมเอส
แหล่งที่มา
1

ความหวาดระแวงของคุณเป็นธรรม ใช่ Google สามารถเข้าถึงรหัสผ่านของคุณ แม้จะเป็นเรื่องจริงหากคุณกำหนดวลีรหัสผ่านที่กำหนดเองเว้นแต่ว่าข้อความรหัสผ่านนั้นจะสุ่มอย่างแท้จริงแทนที่จะเป็นรหัสผ่านที่มนุษย์เลือก เหตุผลคือวิธีการที่ Chrome ใช้ในการแปลงข้อความรหัสผ่านนั้นเป็นรหัสการเข้ารหัส (PBKDF2-HMAC-SHA1 จะเป็น 1003 การวนซ้ำ) นั้นเป็นเรื่องง่ายที่จะดุร้าย มันไม่ได้ใช้ทรัพยากรของ Google ใคร ๆ ที่เต็มใจลงทุนน้อยกว่า $ 1,000 ลงในการ์ดกราฟิกสามารถเดารหัสผ่านส่วนใหญ่ได้ภายในสองสามวัน การใช้งานในปัจจุบันยังล้มเหลวในการตั้งค่าเกลือตัวแปรซึ่งช่วยให้คาดเดาวลีรหัสผ่านสำหรับบัญชีทั้งหมดในแบบคู่ขนาน

การใช้ Firefox Sync ปัจจุบันดีกว่ามาก ใครก็ตามที่เข้าถึงข้อมูลบนเซิร์ฟเวอร์จะไม่สามารถทำอะไรได้มากมายทั้งนั้นการป้องกันนั้นมีเหตุผล องค์ประกอบฝั่งไคลเอ็นต์ของการป้องกันนั้นในปัจจุบันนั้นไม่ดีพอ (PBKDF2-HMAC-SHA256 ที่มีการวนซ้ำ 1,000 ครั้ง) ดังนั้นใครก็ตามที่สามารถดักจับแฮชของรหัสผ่านได้เนื่องจากมันถูกส่งไปยังเซิร์ฟเวอร์จะสามารถเดารหัสผ่านของคุณได้ ความพยายามเล็กน้อย

ข้อมูลเพิ่มเติม:

Wladimir Palant
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.