Nhân viên Google có thể xem Mật khẩu của tôi được lưu trong Google Chrome không?

Tôi hiểu rằng chúng tôi thực sự muốn lưu mật khẩu của mình trong Google Chrome. Lợi ích có thể là hai lần,

• Bạn không cần (ghi nhớ và) nhập các mật khẩu dài và khó hiểu đó.
• Chúng có sẵn ở bất cứ nơi nào bạn từng đăng nhập vào tài khoản Google của mình.

Điểm cuối cùng làm dấy lên nghi ngờ của tôi. Vì mật khẩu có sẵn ở bất cứ đâu , nên bộ lưu trữ phải ở một số vị trí trung tâm và điều này phải có tại Google.

Bây giờ, câu hỏi đơn giản của tôi là, một nhân viên Google có thể xem mật khẩu của tôi không?

Tìm kiếm trên Internet cho thấy một số bài viết / tin nhắn.

• Bạn có lưu mật khẩu trong Chrome không? Có lẽ bạn nên xem xét lại : Nói về mật khẩu của bạn bị đánh cắp bởi một người có quyền truy cập vào tài khoản máy tính của bạn. Không có gì đề cập về bảo mật lưu trữ trung tâm và lỗ hổng. Thậm chí còn có một phản hồi từ lãnh đạo công nghệ bảo mật trình duyệt Chrome về vấn đề đầu tiên.
• Chiến lược bảo mật mật khẩu điên rồ của Chrome : Chủ yếu dọc theo cùng một dòng. Bạn có thể đánh cắp mật khẩu từ ai đó nếu bạn có quyền truy cập vào tài khoản máy tính.
• Cách đánh cắp mật khẩu được lưu trong Google Chrome trong 5 bước đơn giản : Dạy bạn cách thực hiện hành động được đề cập trong hai lần trước khi bạn có quyền truy cập vào tài khoản của người khác.

Có nhiều hơn nữa (bao gồm cả cái này tại trang web này ), chủ yếu dọc theo cùng một dòng, điểm, điểm phản biện, các cuộc tranh luận lớn. Tôi không đề cập đến chúng ở đây, chỉ cần thực hiện tìm kiếm nếu bạn muốn tìm thấy chúng.

Quay trở lại truy vấn ban đầu của tôi, một nhân viên Google có thể thấy mật khẩu của tôi không? Vì tôi có thể xem mật khẩu bằng một nút đơn giản, chắc chắn chúng có thể không bị xóa (giải mã) ngay cả khi được mã hóa. Điều này rất khác với mật khẩu được lưu trong HĐH giống Unix nơi mật khẩu đã lưu không bao giờ có thể nhìn thấy trong văn bản thuần túy.

Họ sử dụng thuật toán mã hóa một chiều để mã hóa mật khẩu của bạn. Mật khẩu được mã hóa này sau đó được lưu trữ trong tệp passwd hoặc bóng. Khi bạn cố gắng đăng nhập, mật khẩu bạn nhập được mã hóa lại và được so sánh với mục nhập trong tệp lưu mật khẩu của bạn. Nếu chúng khớp, nó phải cùng một mật khẩu và bạn được phép truy cập. Do đó, một siêu người dùng có thể thay đổi mật khẩu của tôi, có thể chặn tài khoản của tôi, nhưng anh ta không bao giờ có thể nhìn thấy mật khẩu của tôi.

Câu trả lời ngắn: Không ^*

Mật khẩu được lưu trữ trên máy cục bộ của bạn có thể được Chrome giải mã, miễn là tài khoản người dùng HĐH của bạn được đăng nhập. Và sau đó bạn có thể xem chúng bằng văn bản thuần túy. Lúc đầu điều này có vẻ kinh khủng, nhưng bạn nghĩ auto-fill hoạt động như thế nào? Khi trường mật khẩu đó được điền vào, Chrome phải chèn mật khẩu thực vào thành phần biểu mẫu HTML - nếu không trang sẽ không hoạt động và bạn không thể gửi biểu mẫu. Và nếu kết nối đến trang web không qua HTTPS, thì văn bản đơn giản sẽ được gửi qua internet. Nói cách khác, nếu chrome không thể có được mật khẩu văn bản đơn giản thì chúng hoàn toàn vô dụng. Băm một chiều là không tốt, bởi vì chúng ta cần sử dụng chúng.

Bây giờ mật khẩu thực tế đã được mã hóa, cách duy nhất để đưa chúng trở lại văn bản đơn giản là có khóa giải mã. Khóa đó là mật khẩu Google của bạn hoặc khóa phụ bạn có thể thiết lập. Khi bạn đăng nhập vào Chrome và đồng bộ hóa các máy chủ của Google sẽ truyền được mã hóa mật khẩu, thiết lập, bookmark, tự động điền, vv, để máy tính cục bộ của bạn. Tại đây Chrome sẽ giải mã thông tin và có thể sử dụng thông tin đó.

Cuối cùng, tất cả thông tin đó được lưu trữ ở trạng thái được mã hóa và họ không có chìa khóa để giải mã nó. Mật khẩu tài khoản của bạn được kiểm tra dựa vào hàm băm để đăng nhập vào Google và ngay cả khi bạn để chrome nhớ nó, phiên bản được mã hóa đó được ẩn trong cùng gói với các mật khẩu khác, không thể truy cập. Vì vậy, một nhân viên có thể lấy một đống dữ liệu được mã hóa, nhưng nó sẽ không giúp ích gì cho họ, vì họ sẽ không có cách nào để sử dụng nó. ^*

Vì vậy, không, nhân viên của Google không thể ^** truy cập mật khẩu của bạn, vì chúng được mã hóa trên máy chủ của họ.

^{* Tuy nhiên, đừng quên rằng bất kỳ hệ thống nào có thể được truy cập bởi người dùng được ủy quyền đều có thể được truy cập bởi người dùng trái phép. Một số hệ thống dễ bị hỏng hơn các hệ thống khác, nhưng không có hệ thống nào không chứng minh được. . . Điều đó đang được nói, tôi nghĩ rằng tôi sẽ tin tưởng Google và hàng triệu họ chi cho các hệ thống bảo mật, hơn bất kỳ giải pháp lưu trữ mật khẩu nào khác. Và chết tiệt, tôi là một mọt sách ngu ngốc, sẽ dễ dàng đánh bại mật khẩu của tôi hơn là phá vỡ mã hóa của Google.}

^{** Tôi cũng cho rằng sẽ không có người nào tình cờ làm việc để Google có quyền truy cập vào máy cục bộ của bạn. Trong trường hợp đó bạn bị lừa, nhưng việc làm tại Google thực sự không còn là yếu tố nữa. Đạo đức: Lượt Win+ Ltrước khi rời máy.}

Trên thực tế, việc lấy lại mật khẩu của bạn từ hầu hết các trình duyệt là khá đơn giản. Bài viết bảo mật mật khẩu điên rồ được viết bởi một người sử dụng chủ yếu là Safari và dường như nghĩ rằng ĐÃ đúng cách. Đây là bảo mật cấp độ người dùng bởi tối nghĩa. Người đưa lên vấn đề là một nhà phát triển ai làm chủ yếu iOS, OS X và phát triển web, phát triển không an ninh, và bạn có thể muốn đọc counterarguement của Google quá

Trên Windows, công cụ này từ Nirsoft cho phép tôi kiểm tra tất cả mật khẩu của bạn từ nhiều trình duyệt. Nếu ai đó có quyền truy cập vật lý vào hệ thống của bạn, thì đã quá muộn.

Và không, không có khả năng Google sẽ cho phép nhân viên của mình xem mật khẩu của bạn - phần đồng bộ hóa thực sự của trình duyệt được mã hóa - bằng cách sử dụng thông tin đăng nhập hoặc cụm mật khẩu của riêng bạn. Google như vậy không có bản sao mật khẩu của bạn không được mã hóa. Đó là một thực tiễn tốt vì nó ngăn chặn rò rỉ mật khẩu đã nói, sự cám dỗ để thực hiện một chút tình yêu và từ các chính phủ để yêu cầu Google trao mật khẩu. Bạn không thể hiểu những gì bạn không biết.

Nếu bạn thực sự lo lắng, chỉ cần sử dụng trình quản lý mật khẩu của bên thứ ba và đồng bộ hóa nó theo bất kỳ cách nào bạn tin tưởng hoặc sử dụng trình duyệt web ít phổ biến hơn (những công cụ này không hỗ trợ) với mật khẩu chính. Tuy nhiên, lập luận rằng việc lưu trữ mật khẩu văn bản đơn giản không hữu ích lắm trong ngày mà việc bẻ khóa mật khẩu tăng tốc GPU có sẵn.

Về mặt lý thuyết thì không. Xem https://support.google.com/chrom đá/11/111035 để biết thêm chi tiết, nhưng về cơ bản, dữ liệu được đồng bộ hóa của bạn (mật khẩu, dấu trang, lịch sử, v.v.) được mã hóa trước khi chúng được gửi đến máy chủ của Google. Mã hóa sử dụng mật khẩu tài khoản Google của bạn hoặc mật khẩu riêng mà bạn chọn chỉ nhằm mục đích đồng bộ hóa. Để giữ mọi thứ được đồng bộ hóa mà không phải nhập mật khẩu đó mọi lúc, mật khẩu đồng bộ phải được lưu trữ trên máy tính cục bộ của bạn.

Để nhân viên Google xem mật khẩu của bạn (giả sử họ không có quyền truy cập vào máy cục bộ của bạn), họ sẽ phải biết mật khẩu tài khoản Google hoặc mật khẩu đồng bộ hóa của bạn. Tôi cho rằng mật khẩu tài khoản Google được lưu trữ dưới dạng băm nào đó ở bên cạnh họ, vì vậy sẽ không cho phép họ dễ dàng giải mã dữ liệu được đồng bộ hóa của bạn.

Rõ ràng, có hai vấn đề lưu trữ mật khẩu riêng biệt khi nói đến Chrome. Một là cách mật khẩu được lưu trữ cục bộ và các liên kết khác nhau của bạn nói về cách những mật khẩu đó có thể dễ dàng được xem nếu ai đó có thể truy cập vào tài khoản địa phương của bạn . Vấn đề khác là những gì tôi đã thảo luận ở trên, cụ thể là cách mật khẩu được gửi đến các máy chủ của Google, để chúng có thể có sẵn trên nhiều cài đặt Chrome.