พนักงาน Google สามารถดูรหัสผ่าน Google Chrome ที่บันทึกไว้ได้หรือไม่
การจัดเก็บรหัสผ่านของคุณในเว็บเบราว์เซอร์ดูเหมือนว่าเป็นการประหยัดเวลาที่ยอดเยี่ยม แต่เป็นรหัสผ่านที่ปลอดภัยและไม่สามารถเข้าถึงผู้อื่นได้ (แม้กระทั่งพนักงานของ บริษัท เบราว์เซอร์) เมื่อถูกกระรอก?
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser - แผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มที่ขับเคลื่อนด้วยชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน SuperUser MMA อยากรู้ว่าพนักงานของ Google สามารถเข้าถึงรหัสผ่านที่เขาเก็บไว้ใน Google Chrome ได้หรือไม่
ฉันเข้าใจว่าเราถูกล่อลวงให้บันทึกรหัสผ่านของเราใน Google Chrome ประโยชน์ที่จะได้รับคือสองเท่า,
- คุณไม่จำเป็นต้อง (จดจำและ) ป้อนรหัสผ่านที่ยาวและเป็นความลับเหล่านั้น.
- สิ่งเหล่านี้สามารถใช้ได้ทุกที่เมื่อคุณลงชื่อเข้าใช้บัญชี Google ของคุณ.
จุดสุดท้ายจุดประกายความสงสัยของฉัน เนื่องจากรหัสผ่านนั้นมีให้ ทุกแห่ง, พื้นที่เก็บข้อมูลจะต้องอยู่ในตำแหน่งศูนย์กลางและควรเป็นที่ Google.
ตอนนี้คำถามง่ายๆของฉันคือพนักงาน Google สามารถดูรหัสผ่านของฉันได้หรือไม่?
การค้นหาทางอินเทอร์เน็ตได้เปิดเผยบทความ / ข้อความหลายรายการ.
- คุณบันทึกรหัสผ่านใน Chrome หรือไม่ บางทีคุณควรพิจารณาใหม่: พูดคุยเกี่ยวกับรหัสผ่านของคุณที่ถูกขโมยโดยผู้ที่สามารถเข้าถึงบัญชีคอมพิวเตอร์ของคุณ ไม่มีอะไรพูดถึงความปลอดภัยและความเปราะบางของที่เก็บข้อมูลส่วนกลาง มีแม้กระทั่งการตอบสนองจากเทคโนโลยีความปลอดภัยของเบราว์เซอร์ Chrome เกี่ยวกับปัญหาแรก.
- กลยุทธ์การรักษาความปลอดภัยรหัสผ่านที่เสียสติของ Chrome: ส่วนใหญ่อยู่ในบรรทัดเดียวกัน คุณสามารถขโมยรหัสผ่านจากใครก็ได้หากคุณสามารถเข้าถึงบัญชีคอมพิวเตอร์ได้.
- วิธีขโมยรหัสผ่านที่บันทึกใน Google Chrome ใน 5 ขั้นตอนง่าย ๆ : สอนวิธีการปฏิบัติจริง การกระทำ ที่กล่าวถึงในสองเรื่องก่อนหน้านี้เมื่อคุณเข้าถึงบัญชีของบุคคลอื่น.
มีอีกมากมาย (รวมถึงอันนี้ที่ เว็บไซต์นี้) ซึ่งส่วนใหญ่เป็นไปตามบรรทัดเดียวกันคะแนนการนับคะแนนการโต้วาทีครั้งใหญ่ ฉันละเว้นจากการกล่าวถึงที่นี่เพียงดำเนินการค้นหาหากคุณต้องการค้นหา.
กลับมาที่ข้อความค้นหาเดิมพนักงาน Google สามารถเห็นรหัสผ่านของฉันได้หรือไม่ เนื่องจากฉันสามารถดูรหัสผ่านโดยใช้ปุ่มแบบง่ายแน่นอนพวกเขาสามารถ unhashed (ถอดรหัส) แม้ว่าจะเข้ารหัส สิ่งนี้แตกต่างจากรหัสผ่านที่บันทึกในระบบปฏิบัติการ Unix ที่ไม่สามารถมองเห็นรหัสผ่านที่บันทึกไว้เป็นข้อความธรรมดาได้.
พวกเขาใช้อัลกอริทึมการเข้ารหัสทางเดียวเพื่อเข้ารหัสรหัสผ่านของคุณ รหัสผ่านที่เข้ารหัสนี้จะถูกเก็บไว้ในไฟล์ passwd หรือ shadow เมื่อคุณพยายามที่จะเข้าสู่ระบบรหัสผ่านที่คุณพิมพ์จะถูกเข้ารหัสอีกครั้งและเปรียบเทียบกับรายการในไฟล์ที่เก็บรหัสผ่านของคุณ หากตรงกันจะต้องเป็นรหัสผ่านเดียวกันและคุณได้รับอนุญาตให้เข้าถึงได้ ดังนั้น superuser สามารถเปลี่ยนรหัสผ่านของฉันสามารถบล็อกบัญชีของฉัน แต่เขาไม่เคยเห็นรหัสผ่านของฉัน.
ดังนั้นความกังวลของเขาก็ถูกก่อตั้งขึ้นมาอย่างดีหรือความเข้าใจลึกซึ้งเล็กน้อยจะขจัดความกังวลของเขา?
คำตอบ
ผู้สนับสนุน SuperUser Zeel ช่วยทำให้เขาสบายใจ:
คำตอบสั้น ๆ : ไม่ *
รหัสผ่านที่เก็บไว้ในเครื่องท้องถิ่นของคุณสามารถถอดรหัสได้โดย Chrome ตราบใดที่บัญชีผู้ใช้ระบบปฏิบัติการของคุณลงชื่อเข้าใช้จากนั้นคุณสามารถดูรหัสผ่านได้ ในตอนแรกมันดูน่ากลัว แต่คุณคิดว่าการเติมอัตโนมัติทำงานอย่างไร เมื่อกรอกรหัสผ่านแล้ว Chrome ต้องแทรกรหัสผ่านจริงลงในองค์ประกอบของรูปแบบ HTML มิฉะนั้นหน้าเว็บจะทำงานไม่ถูกต้องและคุณไม่สามารถส่งแบบฟอร์มได้ และหากการเชื่อมต่อกับเว็บไซต์ไม่ผ่าน HTTPS ข้อความธรรมดาจะถูกส่งผ่านอินเทอร์เน็ต กล่าวอีกนัยหนึ่งถ้า Chrome ไม่สามารถรับรหัสผ่านแบบข้อความธรรมดาได้พวกเขาจะไร้ประโยชน์โดยสิ้นเชิง แฮชทางเดียวไม่ดีเพราะเราต้องใช้มัน.
ตอนนี้รหัสผ่านนั้นถูกเข้ารหัสจริงแล้ววิธีเดียวที่จะนำพวกเขากลับไปที่ข้อความล้วนคือมีคีย์ถอดรหัส รหัสนั้นเป็นรหัสผ่าน Google ของคุณหรือรหัสรองที่คุณสามารถตั้งค่าได้ เมื่อคุณลงชื่อเข้าใช้ Chrome และซิงค์เซิร์ฟเวอร์ Google จะทำการส่ง การเข้ารหัส รหัสผ่านการตั้งค่าที่คั่นหน้าการป้อนอัตโนมัติ ฯลฯ ไปยังเครื่องท้องถิ่นของคุณ Chrome จะถอดรหัสข้อมูลและสามารถใช้งานได้.
ในตอนท้ายของ Google ข้อมูลทั้งหมดจะถูกเก็บไว้ในสถานะเข้ารหัสและพวกเขาไม่มีกุญแจในการถอดรหัส รหัสผ่านบัญชีของคุณถูกตรวจสอบกับแฮชเพื่อเข้าสู่ Google และแม้ว่าคุณจะปล่อยให้โครเมี่ยมจำได้ แต่เวอร์ชันเข้ารหัสนั้นถูกซ่อนอยู่ในชุดเดียวกับรหัสผ่านอื่น ๆ ซึ่งเป็นไปไม่ได้ที่จะเข้าถึง ดังนั้นพนักงานอาจจับการถ่ายโอนข้อมูลที่เข้ารหัส แต่มันจะไม่ทำสิ่งที่ดีเพราะพวกเขาไม่มีทางใช้มัน *
ไม่เลยพนักงาน Google ไม่สามารถเข้าถึงรหัสผ่านของคุณได้เนื่องจากพวกเขาถูกเข้ารหัสบนเซิร์ฟเวอร์.
* * * * อย่างไรก็ตามอย่าลืมว่าระบบใด ๆ ที่สามารถเข้าถึงได้โดยผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงได้โดยผู้ใช้ที่ไม่ได้รับอนุญาต ระบบบางระบบสามารถแตกหักได้ง่ายกว่าระบบอื่น ๆ แต่ไม่มีระบบป้องกันข้อผิดพลาด ... ที่กล่าวมาฉันคิดว่าฉันจะเชื่อใจ Google และคนนับล้านที่ใช้เงินกับระบบรักษาความปลอดภัยเหนือโซลูชันการจัดเก็บรหัสผ่านอื่น ๆ และห่าฉันเป็นคนงี่เง่าโง่มันจะง่ายกว่าที่จะเอาชนะรหัสผ่านจากฉันมากกว่าจะทำลายการเข้ารหัสของ Google.
** ฉันยังสมมติว่าไม่มีคนที่เพิ่งทำงานเพื่อให้ Google สามารถเข้าถึงเครื่องในท้องถิ่นของคุณได้ ในกรณีนี้คุณรู้สึกเมา แต่การจ้างงานที่ Google ไม่ได้เป็นปัจจัยอีกต่อไป คุณธรรม: กดปุ่ม Win + L ก่อนออกจากเครื่อง.
ในขณะที่เราเห็นด้วยกับ zeel ว่ามันเป็นเดิมพันที่ค่อนข้างปลอดภัย (ตราบใดที่คอมพิวเตอร์ของคุณไม่ถูกบุกรุก) ว่ารหัสผ่านของคุณปลอดภัยในขณะที่เก็บไว้ใน Chrome แต่เราต้องการเข้ารหัสการเข้าสู่ระบบและรหัสผ่านทั้งหมดใน LastPass.
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.