Bisakah Google Karyawan Melihat Kata Sandi Saya Disimpan di Google Chrome?

Saya mengerti bahwa kami sangat tergoda untuk menyimpan kata sandi kami di Google Chrome. Manfaat yang mungkin adalah dua kali lipat,

• Anda tidak perlu (mengingat dan) memasukkan kata sandi yang panjang dan samar itu.
• Ini tersedia di mana pun Anda berada setelah Anda masuk ke akun Google Anda.

Poin terakhir memicu keraguan saya. Karena kata sandi tersedia di mana saja , penyimpanan harus di beberapa lokasi pusat, dan ini harus di Google.

Sekarang, pertanyaan sederhana saya adalah, bisakah karyawan Google melihat kata sandi saya?

Pencarian melalui Internet mengungkapkan beberapa artikel / pesan.

• Apakah Anda menyimpan kata sandi di Chrome? Mungkin Anda harus mempertimbangkan kembali : Berbicara tentang kata sandi Anda yang dicuri oleh seseorang yang memiliki akses ke akun komputer Anda. Tidak ada yang menyebutkan tentang keamanan penyimpanan pusat dan kerentanan. Bahkan ada tanggapan dari pimpinan teknologi keamanan browser Chrome tentang masalah pertama.
• Strategi keamanan kata sandi Chrome yang gila : Sebagian besar sejalan. Anda dapat mencuri kata sandi dari seseorang jika Anda memiliki akses ke akun komputer.
• Cara mencuri kata sandi yang disimpan di Google Chrome dalam 5 langkah sederhana : Mengajari Anda cara melakukan tindakan yang disebutkan di dua sebelumnya ketika Anda memiliki akses ke akun orang lain.

Ada banyak lagi (termasuk yang ini di situs ini ), sebagian besar di sepanjang garis yang sama, poin, poin tandingan, perdebatan besar. Saya menahan diri untuk tidak menyebutkannya di sini, cukup lakukan pencarian jika Anda ingin menemukannya.

Kembali ke permintaan awal saya, bisakah karyawan Google melihat kata sandi saya? Karena saya dapat melihat kata sandi menggunakan tombol sederhana, pasti kata sandi itu dapat di-unhash (didekripsi) walaupun dienkripsi. Ini sangat berbeda dari kata sandi yang disimpan dalam OS mirip Unix di mana kata sandi yang disimpan tidak pernah terlihat dalam teks biasa.

Mereka menggunakan algoritma enkripsi satu arah untuk mengenkripsi kata sandi Anda. Kata sandi terenkripsi ini kemudian disimpan dalam file passwd atau shadow. Ketika Anda mencoba masuk, kata sandi yang Anda ketik dienkripsi lagi dan dibandingkan dengan entri dalam file yang menyimpan kata sandi Anda. Jika mereka cocok, itu harus dengan kata sandi yang sama, dan Anda diizinkan mengaksesnya. Dengan demikian, seorang pengguna super dapat mengubah kata sandi saya, dapat memblokir akun saya, tetapi dia tidak pernah dapat melihat kata sandi saya.

Jawaban singkat: Tidak ^*

Kata sandi yang disimpan di mesin lokal Anda dapat didekripsi oleh Chrome, selama akun pengguna OS Anda masuk. Dan kemudian Anda dapat melihatnya dalam teks biasa. Pada awalnya ini tampak mengerikan, tetapi bagaimana menurut Anda pengisian otomatis berfungsi? Ketika bidang kata sandi itu diisi, Chrome harus memasukkan kata sandi asli ke dalam elemen formulir HTML - atau halaman itu tidak akan berfungsi dengan benar, dan Anda tidak bisa mengirimkan formulir. Dan jika koneksi ke situs web tidak melalui HTTPS, teks biasa dikirim melalui internet. Dengan kata lain, jika chrome tidak bisa mendapatkan kata sandi teks biasa, maka mereka sama sekali tidak berguna. Hash satu arah tidak baik, karena kita perlu menggunakannya.

Sekarang kata sandi dienkripsi, satu-satunya cara untuk mengembalikannya ke teks biasa adalah dengan memiliki kunci dekripsi. Kunci itu adalah kata sandi Google Anda, atau kunci sekunder yang dapat Anda atur. Ketika Anda masuk ke Chrome dan menyinkronkan server Google akan mengirimkan kata sandi terenkripsi , pengaturan, bookmark, pengisian otomatis, dll, ke mesin lokal Anda. Di sini Chrome akan mendekripsi informasi dan dapat menggunakannya.

Pada akhirnya Google semua info itu disimpan dalam keadaan terenkripsi, dan mereka tidak memiliki kunci untuk mendekripsi. Kata sandi akun Anda dicentang terhadap hash untuk masuk ke Google, dan bahkan jika Anda membiarkan chrome mengingatnya, versi terenkripsi itu disembunyikan dalam bundel yang sama dengan kata sandi lainnya, tidak mungkin diakses. Jadi seorang karyawan mungkin dapat mengambil setumpuk data terenkripsi, tetapi itu tidak ada gunanya, karena mereka tidak akan memiliki cara untuk menggunakannya. ^*

Jadi tidak, karyawan Google tidak dapat ^** mengakses kata sandi Anda, karena mereka dienkripsi di server mereka.

^{* Namun, jangan lupa bahwa sistem apa pun yang dapat diakses oleh pengguna yang sah dapat diakses oleh pengguna yang tidak sah. Beberapa sistem lebih mudah rusak daripada yang lain, tetapi tidak ada yang gagal-bukti. . . Yang sedang berkata, saya pikir saya akan mempercayai Google dan jutaan yang mereka habiskan untuk sistem keamanan, dibandingkan solusi penyimpanan kata sandi lainnya. Dan heck, saya seorang kutu buku yang lemah, akan lebih mudah untuk mengalahkan kata sandi dari saya daripada merusak enkripsi Google.}

^{** Saya juga berasumsi bahwa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke mesin lokal Anda. Dalam hal ini Anda kacau, tetapi pekerjaan di Google sebenarnya bukan faktor lagi. Moral: Hit Win+ Lsebelum meninggalkan mesin.}

Sebenarnya, cukup sepele untuk mengambil kata sandi Anda dari sebagian besar browser. Artikel keamanan kata sandi gila ditulis oleh seseorang yang menggunakan terutama Safari, dan tampaknya berpikir bahwa HAS menjadi cara yang benar. Ini adalah keamanan tingkat pengguna oleh ketidakjelasan. Orang yang mengemukakan masalah ini adalah pengembang yang terutama melakukan iOS, OS X dan pengembangan web, bukan pengembangan keamanan, dan Anda mungkin ingin membaca balasan balasan Google juga

Di Windows, alat ini dari Nirsoft dengan mudah memungkinkan saya mencabut semua kata sandi Anda dari banyak peramban. Jika seseorang memiliki akses fisik ke sistem Anda, sudah terlambat.

Dan tidak, sepertinya Google tidak akan mengizinkan karyawannya untuk melihat kata sandi Anda - bagian sinkronisasi sebenarnya dari browser dienkripsi - baik menggunakan kredensial login Anda, atau frasa sandi Anda sendiri. Google karena itu tidak memiliki salinan kata sandi Anda yang tidak terenkripsi. Ini praktik yang baik karena mencegah kebocoran kata sandi, godaan untuk melakukan sedikit cinta , dan dari pemerintah untuk menuntut agar Google menyerahkan kata sandi. Anda tidak bisa mengadukan apa yang tidak Anda ketahui.

Jika Anda benar-benar khawatir, gunakan saja pengelola kata sandi pihak ketiga dan sinkronkan dengan cara apa pun yang Anda percayai, atau gunakan peramban web yang kurang umum (yang tidak didukung alat-alat ini) dengan kata sandi utama. Meskipun demikian, argumen bahwa penyimpanan kata sandi teks biasa tidak terlalu berguna pada hari di mana GPU mempercepat peretakan kata sandi tersedia.

Secara teori tidak. Lihat https://support.google.com/chrome/answer/1181035 untuk detail lebih lanjut, tetapi pada dasarnya data Anda yang disinkronkan (kata sandi, bookmark, riwayat, dll.) Dienkripsi sebelum dikirim ke server Google. Enkripsi menggunakan kata sandi akun Google Anda, atau kata sandi terpisah yang Anda pilih hanya untuk tujuan sinkronisasi. Agar semuanya tetap disinkronkan tanpa harus mengetikkan kata sandi itu sepanjang waktu, kata sandi sinkronisasi harus disimpan di komputer lokal Anda.

Agar karyawan Google dapat melihat kata sandi Anda (dengan asumsi mereka tidak memiliki akses ke mesin lokal Anda), mereka harus mengetahui kata sandi akun Google atau kata sandi sinkronisasi Anda. Saya berasumsi bahwa kata sandi akun Google disimpan dalam semacam bentuk hash di sisi mereka, sehingga tidak akan membiarkan mereka dengan mudah mendekripsi data yang disinkronkan Anda.

Untuk lebih jelasnya, ada dua masalah penyimpanan kata sandi yang berbeda dalam hal Chrome. Salah satunya adalah bagaimana kata sandi disimpan secara lokal, dan berbagai tautan Anda berbicara tentang bagaimana kata sandi tersebut dapat dengan mudah dilihat jika seseorang dapat memperoleh akses ke akun lokal Anda . Masalah lain adalah apa yang saya bahas di atas, yaitu bagaimana kata sandi dikirim ke server Google, sehingga mereka dapat tersedia di beberapa instalasi Chrome.