Bisakah Google Karyawan Melihat Kata Sandi Saya Disimpan di Google Chrome?

34

Saya mengerti bahwa kami sangat tergoda untuk menyimpan kata sandi kami di Google Chrome. Manfaat yang mungkin adalah dua kali lipat,

  • Anda tidak perlu (mengingat dan) memasukkan kata sandi yang panjang dan samar itu.
  • Ini tersedia di mana pun Anda berada setelah Anda masuk ke akun Google Anda.

Poin terakhir memicu keraguan saya. Karena kata sandi tersedia di mana saja , penyimpanan harus di beberapa lokasi pusat, dan ini harus di Google.

Sekarang, pertanyaan sederhana saya adalah, bisakah karyawan Google melihat kata sandi saya?

Pencarian melalui Internet mengungkapkan beberapa artikel / pesan.

Ada banyak lagi (termasuk yang ini di situs ini ), sebagian besar di sepanjang garis yang sama, poin, poin tandingan, perdebatan besar. Saya menahan diri untuk tidak menyebutkannya di sini, cukup lakukan pencarian jika Anda ingin menemukannya.

Kembali ke permintaan awal saya, bisakah karyawan Google melihat kata sandi saya? Karena saya dapat melihat kata sandi menggunakan tombol sederhana, pasti kata sandi itu dapat di-unhash (didekripsi) walaupun dienkripsi. Ini sangat berbeda dari kata sandi yang disimpan dalam OS mirip Unix di mana kata sandi yang disimpan tidak pernah terlihat dalam teks biasa.

Mereka menggunakan algoritma enkripsi satu arah untuk mengenkripsi kata sandi Anda. Kata sandi terenkripsi ini kemudian disimpan dalam file passwd atau shadow. Ketika Anda mencoba masuk, kata sandi yang Anda ketik dienkripsi lagi dan dibandingkan dengan entri dalam file yang menyimpan kata sandi Anda. Jika mereka cocok, itu harus dengan kata sandi yang sama, dan Anda diizinkan mengaksesnya. Dengan demikian, seorang pengguna super dapat mengubah kata sandi saya, dapat memblokir akun saya, tetapi dia tidak pernah dapat melihat kata sandi saya.

Masroor
sumber
6
Anda tidak dapat "" melepaskan "string". Fungsi hash kriptografi adalah satu arah yang dirancang agar tidak layak (yaitu, membutuhkan waktu begitu lama untuk melakukan itu pada saat Anda menyelesaikannya, tidak masalah lagi) untuk membalikkan. The * nix "" algoritma enkripsi satu arah "" ADALAH fungsi hash.
Blacklight Shining
Terima kasih, entah bagaimana saya terbawa suasana. Saya ingin maksud mendekripsi.
Masroor
Selama kata sandi tersebut tidak digunakan untuk WiFi di Android juga, Anda harus menyimpan. Saya harus mengatakan ini, karena Google tahu akses WiFi Anda digunakan di Android.
matematika
@math Apakah Anda ingin sedikit menjelaskannya? Entah bagaimana gagal memahami sepenuhnya.
Masroor
Ada banyak situs berita yang berurusan dengan topik ini, cukup gunakan mesin pencari dengan: "Kata sandi wifi google android" selesai. Misalnya gizmodo.com/...
matematika

Jawaban:

34

Jawaban singkat: Tidak *

Kata sandi yang disimpan di mesin lokal Anda dapat didekripsi oleh Chrome, selama akun pengguna OS Anda masuk. Dan kemudian Anda dapat melihatnya dalam teks biasa. Pada awalnya ini tampak mengerikan, tetapi bagaimana menurut Anda pengisian otomatis berfungsi? Ketika bidang kata sandi itu diisi, Chrome harus memasukkan kata sandi asli ke dalam elemen formulir HTML - atau halaman itu tidak akan berfungsi dengan benar, dan Anda tidak bisa mengirimkan formulir. Dan jika koneksi ke situs web tidak melalui HTTPS, teks biasa dikirim melalui internet. Dengan kata lain, jika chrome tidak bisa mendapatkan kata sandi teks biasa, maka mereka sama sekali tidak berguna. Hash satu arah tidak baik, karena kita perlu menggunakannya.

Sekarang kata sandi dienkripsi, satu-satunya cara untuk mengembalikannya ke teks biasa adalah dengan memiliki kunci dekripsi. Kunci itu adalah kata sandi Google Anda, atau kunci sekunder yang dapat Anda atur. Ketika Anda masuk ke Chrome dan menyinkronkan server Google akan mengirimkan kata sandi terenkripsi , pengaturan, bookmark, pengisian otomatis, dll, ke mesin lokal Anda. Di sini Chrome akan mendekripsi informasi dan dapat menggunakannya.

Pada akhirnya Google semua info itu disimpan dalam keadaan terenkripsi, dan mereka tidak memiliki kunci untuk mendekripsi. Kata sandi akun Anda dicentang terhadap hash untuk masuk ke Google, dan bahkan jika Anda membiarkan chrome mengingatnya, versi terenkripsi itu disembunyikan dalam bundel yang sama dengan kata sandi lainnya, tidak mungkin diakses. Jadi seorang karyawan mungkin dapat mengambil setumpuk data terenkripsi, tetapi itu tidak ada gunanya, karena mereka tidak akan memiliki cara untuk menggunakannya. *

Jadi tidak, karyawan Google tidak dapat ** mengakses kata sandi Anda, karena mereka dienkripsi di server mereka.


* Namun, jangan lupa bahwa sistem apa pun yang dapat diakses oleh pengguna yang sah dapat diakses oleh pengguna yang tidak sah. Beberapa sistem lebih mudah rusak daripada yang lain, tetapi tidak ada yang gagal-bukti. . . Yang sedang berkata, saya pikir saya akan mempercayai Google dan jutaan yang mereka habiskan untuk sistem keamanan, dibandingkan solusi penyimpanan kata sandi lainnya. Dan heck, saya seorang kutu buku yang lemah, akan lebih mudah untuk mengalahkan kata sandi dari saya daripada merusak enkripsi Google.

** Saya juga berasumsi bahwa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke mesin lokal Anda. Dalam hal ini Anda kacau, tetapi pekerjaan di Google sebenarnya bukan faktor lagi. Moral: Hit Win+ Lsebelum meninggalkan mesin.

zeel
sumber
3
Win + L tidak berfungsi untuk saya karena saya adalah pengguna Linux. Tapi terima kasih, saya memiliki kebiasaan tidak pernah mengunci mesin saya ketika pergi.
Masroor
Nah itu sentimen yang penting. Dan untuk pengguna non windows, saya yakin ada cara mudah untuk membuat hotkey kunci.
zeel
6
Sebagian besar linux menggunakan Ctl-Alt-L untuk mengunci mesin. Saya bahkan sebelumnya telah menggunakan utilitas yang terkunci dengan menggunakan bluetooth untuk mendeteksi ada / tidaknya ponsel saya.
Drake Clarris
Jika kata sandi Google saya adalah kunci yang digunakan untuk mendekripsi kata sandi lain yang disimpan Google untuk saya, bukankah Google harus meminta kata sandi Google saya setiap kali mereka ingin secara otomatis mengisi salah satu kata sandi saya yang lain? Karena mereka tidak melakukan ini, itu membuat saya berpikir bahwa kata sandi Google saya bukan kuncinya, karena Google seharusnya tidak menyimpan kata sandi Google saya yang sebenarnya di mana pun. Jadi apa kuncinya?
Chris Morris
Mesin virtual Chrome lokal Anda menyimpan salinan semua kata sandi. Saya bukan ahli tentang bagaimana tepatnya sistem ini bekerja, dan mungkin berubah secara signifikan dari waktu ke waktu. Sejauh yang saya ketahui, kata sandi Google Anda (atau kunci lain jika Anda mengaturnya) perlu digunakan untuk mendekripsi data Anda ketika Anda pertama kali menginisialisasi instalasi Chrome. Saya berasumsi mesin Anda menyimpan kata sandi atau kunci untuk digunakan di masa depan, jadi Anda tidak perlu memasukkannya lagi, tetapi tidak disimpan di server Google.
zeel
13

Sebenarnya, cukup sepele untuk mengambil kata sandi Anda dari sebagian besar browser. Artikel keamanan kata sandi gila ditulis oleh seseorang yang menggunakan terutama Safari, dan tampaknya berpikir bahwa HAS menjadi cara yang benar. Ini adalah keamanan tingkat pengguna oleh ketidakjelasan. Orang yang mengemukakan masalah ini adalah pengembang yang terutama melakukan iOS, OS X dan pengembangan web, bukan pengembangan keamanan, dan Anda mungkin ingin membaca balasan balasan Google juga

Di Windows, alat ini dari Nirsoft dengan mudah memungkinkan saya mencabut semua kata sandi Anda dari banyak peramban. Jika seseorang memiliki akses fisik ke sistem Anda, sudah terlambat.

Dan tidak, sepertinya Google tidak akan mengizinkan karyawannya untuk melihat kata sandi Anda - bagian sinkronisasi sebenarnya dari browser dienkripsi - baik menggunakan kredensial login Anda, atau frasa sandi Anda sendiri. Google karena itu tidak memiliki salinan kata sandi Anda yang tidak terenkripsi. Ini praktik yang baik karena mencegah kebocoran kata sandi, godaan untuk melakukan sedikit cinta , dan dari pemerintah untuk menuntut agar Google menyerahkan kata sandi. Anda tidak bisa mengadukan apa yang tidak Anda ketahui.

Jika Anda benar-benar khawatir, gunakan saja pengelola kata sandi pihak ketiga dan sinkronkan dengan cara apa pun yang Anda percayai, atau gunakan peramban web yang kurang umum (yang tidak didukung alat-alat ini) dengan kata sandi utama. Meskipun demikian, argumen bahwa penyimpanan kata sandi teks biasa tidak terlalu berguna pada hari di mana GPU mempercepat peretakan kata sandi tersedia.

Journeyman Geek
sumber
8

Secara teori tidak. Lihat https://support.google.com/chrome/answer/1181035 untuk detail lebih lanjut, tetapi pada dasarnya data Anda yang disinkronkan (kata sandi, bookmark, riwayat, dll.) Dienkripsi sebelum dikirim ke server Google. Enkripsi menggunakan kata sandi akun Google Anda, atau kata sandi terpisah yang Anda pilih hanya untuk tujuan sinkronisasi. Agar semuanya tetap disinkronkan tanpa harus mengetikkan kata sandi itu sepanjang waktu, kata sandi sinkronisasi harus disimpan di komputer lokal Anda.

Agar karyawan Google dapat melihat kata sandi Anda (dengan asumsi mereka tidak memiliki akses ke mesin lokal Anda), mereka harus mengetahui kata sandi akun Google atau kata sandi sinkronisasi Anda. Saya berasumsi bahwa kata sandi akun Google disimpan dalam semacam bentuk hash di sisi mereka, sehingga tidak akan membiarkan mereka dengan mudah mendekripsi data yang disinkronkan Anda.

Untuk lebih jelasnya, ada dua masalah penyimpanan kata sandi yang berbeda dalam hal Chrome. Salah satunya adalah bagaimana kata sandi disimpan secara lokal, dan berbagai tautan Anda berbicara tentang bagaimana kata sandi tersebut dapat dengan mudah dilihat jika seseorang dapat memperoleh akses ke akun lokal Anda . Masalah lain adalah apa yang saya bahas di atas, yaitu bagaimana kata sandi dikirim ke server Google, sehingga mereka dapat tersedia di beberapa instalasi Chrome.

jjlin
sumber
1
Untuk menambah jawaban jjlin: Ini tidak berarti akses fisik , itu hanya berarti akses dalam beberapa cara yang memungkinkan seseorang mengakses file di komputer Anda (seperti virus)
Jon