Tôi đang sử dụng Chrome và Chrome Sync; Google có quyền truy cập vào mật khẩu của tôi không?

Tôi đã sử dụng Chrome (và Chrome Sync) từ nhiều năm nay. Điều đó có nghĩa là Google, chủ sở hữu Chrome, biết tất cả mật khẩu của tôi?

Tôi hỏi bởi vì tôi nhận ra rằng Google sở hữu Chrome và cũng là một trình duyệt nguồn đóng, điều đó có nghĩa là có thể có một số cửa hậu cho phép trình duyệt thu thập mật khẩu của tôi.

Ngoài ra, đó có phải là trường hợp tương tự với Firefox?

Câu trả lời ngắn gọn, vâng. Nếu đồng bộ hóa được bật và bạn chọn lưu mật khẩu, mật khẩu đó sẽ được gửi đến các máy chủ của Google. Điều đó nói rằng, dữ liệu được mã hóa và truy cập vào nó bị hạn chế.

Theo mặc định, Google mã hóa dữ liệu được đồng bộ hóa của bạn bằng thông tin đăng nhập tài khoản của bạn . Google chỉ ra rằng dữ liệu này không thể được giải mã mà không có kiến ​​thức về mật khẩu của bạn và trên thực tế, khi thông tin đăng nhập của bạn thay đổi, tất cả dữ liệu được đồng bộ hóa phải được xóa khỏi hệ thống của họ và sau đó có thể được đồng bộ hóa lại từ thiết bị của bạn (và trong quá trình này là được mã hóa lại với các thông tin mới của bạn).

Vì vậy, nếu mọi thứ đều hoạt động chính xác, bản thân Google có thể được tin cậy và cơ sở hạ tầng của Google đủ an toàn để ngăn chặn các bên thứ ba quan tâm (đọc NSA, tin tặc hình sự, v.v.) thì dữ liệu của bạn sẽ an toàn. Tuy nhiên, điều đó nói rằng Google vẫn có khả năng giải mã dữ liệu của bạn, mặc dù họ không biết điều đó. Đây chỉ đơn giản là kết quả của việc họ là thành viên của việc tạo khóa mật mã (thông tin đăng nhập của bạn), khiến họ ở vị trí để lưu và có khả năng sử dụng sai các khóa.

Mức độ tin cậy này cao hơn mức tôi muốn đặt vào họ, vì vậy trong tình huống này, tôi sẽ chọn không lưu mật khẩu hoặc đồng bộ hóa dữ liệu vào dịch vụ của họ, nhưng đó chỉ là sở thích của tôi. Chỉ có một kẻ ngốc tin tưởng tất cả mọi người, nhưng chỉ có một kẻ ngốc lớn hơn tin tưởng không ai.

Nó phụ thuộc vào cài đặt mã hóa của bạn .

• Mã hóa mật khẩu được đồng bộ hóa với thông tin đăng nhập Google của bạn: Đây là tùy chọn mặc định. Mật khẩu đã lưu của bạn được mã hóa trên các máy chủ của Google và được bảo vệ bằng thông tin đăng nhập tài khoản Google của bạn.

Với tùy chọn này, Google có quyền truy cập vào dữ liệu của bạn.

• Mã hóa tất cả dữ liệu được đồng bộ hóa bằng cụm mật khẩu đồng bộ của riêng bạn: Chọn mục này nếu bạn muốn mã hóa tất cả dữ liệu bạn đã chọn để đồng bộ hóa. Bạn có thể cung cấp cụm mật khẩu của riêng bạn sẽ chỉ được lưu trữ trên máy tính của bạn.

Với tùy chọn này, Google không có quyền truy cập vào dữ liệu của bạn, giả sử họ trung thực về những gì xảy ra với cụm mật khẩu của bạn (điều gì xảy ra nếu bạn quên cụm mật khẩu của mình thì rõ ràng họ không lưu trữ nó vì lợi ích của bạn), đừng có một số lỗ hổng (hoặc cửa hậu) trong bảo mật đồng bộ hóa của họ và cụm mật khẩu của bạn đủ an toàn để chống lại nỗ lực vũ phu của Google (mật khẩu như vậy là có thể, nhưng rất không điển hình).

Bạn có thể giảm cơ hội để Google chặn mật khẩu của mình bằng cách sử dụng trình quản lý mật khẩu ngoại tuyến như KeePass kết hợp với Chrome làm trình duyệt của bạn. Bạn có thể loại bỏ hoàn toàn cơ hội bằng cách không sử dụng các sản phẩm của Google nữa (điều gì sẽ xảy ra nếu họ thực sự kết hợp một keylogger với Google Drive hoặc Chrome? Và với Gmail, các yêu cầu đặt lại mật khẩu có thể bị chặn theo cách này hay cách khác, có thể dẫn đến việc Google truy cập tài khoản của bạn, ngay cả khi mật khẩu của bạn không bị bẻ khóa).

Với Firefox, tính bảo mật của dữ liệu của bạn phụ thuộc vào mức độ an toàn của mật khẩu Tài khoản Firefox của bạn. Nếu bạn chọn một mật khẩu tốt, thì Mozilla hoặc bất kỳ ai cũng không thể truy cập mật khẩu của bạn. Tuy nhiên, điều này đưa ra giả định rằng Mozilla đang trung thực về cách thức hoạt động của hệ thống và không có lỗ hổng (hoặc cửa hậu) trong bảo mật của họ. Bạn có thể thêm một biện pháp bảo mật bổ sung bằng cách chạy máy chủ Sync riêng của riêng bạn thay vì sử dụng Mozilla. Vì Firefox là nguồn mở và Mozilla có hồ sơ theo dõi tốt hơn về quyền riêng tư so với Google , nên khả năng họ cố gắng thỏa hiệp dữ liệu của bạn dường như thấp hơn nhiều.

Chọn mức độ hoang tưởng của bạn như bạn muốn, và dựa trên nhu cầu của bạn. Tôi sẽ không sử dụng bất cứ thứ gì Google cho các nhu cầu ở cấp độ Snowden, nhưng đối với các nhu cầu riêng tư thông thường, tôi sẽ sử dụng một cụm mật khẩu trên Google Sync ở mức tối thiểu (để kẻ tấn công truy cập vào Tài khoản Google của bạn có một lớp khác để vượt qua trước khi anh ta vượt qua có mật khẩu của bạn).

Ngoài ra, lưu ý rằng tất cả những thứ này sẽ xuất hiện ngoài cửa sổ nếu có ai quản lý cài đặt keylogger (có thể được bổ sung bằng một trình quét màn hình và ghi chuột nhấp chuột để chống lại bàn phím trên màn hình) trên PC của bạn.

Chứng hoang tưởng của bạn là hợp lý. Có, Google có thể truy cập mật khẩu của bạn. Điều đó thậm chí đúng nếu bạn xác định cụm mật khẩu tùy chỉnh, trừ khi cụm mật khẩu đó thực sự ngẫu nhiên thay vì là mật khẩu thông thường do con người chọn. Lý do là, cách tiếp cận được Chrome sử dụng để chuyển đổi cụm mật khẩu đó thành khóa mã hóa (PBKDF2-HMAC-SHA1 sẽ 1003 lần lặp) rất đơn giản đối với bruteforce. Không cần tài nguyên của Google, bất kỳ ai sẵn sàng đầu tư dưới 1000 đô la vào thẻ đồ họa đều có thể đoán được hầu hết mật khẩu trong vài ngày. Việc triển khai hiện tại thậm chí không thể đặt một muối biến, cho phép đoán các cụm mật khẩu cho tất cả các tài khoản song song.

Việc triển khai Firefox Sync hiện tại tốt hơn đáng kể. Bất cứ ai chỉ đơn thuần truy cập dữ liệu trên máy chủ sẽ không thể làm được gì nhiều với nó, việc bảo vệ là lành mạnh. Thành phần phía máy khách của bảo vệ đó hiện tại không tối ưu (PBKDF2-HMAC-SHA256 với 1000 lần lặp), do đó, bất kỳ ai có thể chặn mật khẩu băm khi nó được gửi đến máy chủ đều có thể đoán được mật khẩu của bạn một cách tương đương nỗ lực nhỏ.

Thông tin thêm:

• Bài viết trên blog của tôi về chủ đề này
• Vấn đề về crom 820976
• Lỗi 1320222 của Mozilla