Saya telah menggunakan Chrome (dan Sinkronisasi Chrome) selama bertahun-tahun sekarang. Apakah itu berarti Google, pemilik Chrome, mengetahui semua kata sandi saya?
Saya bertanya karena saya menyadari bahwa Google memiliki Chrome, dan juga, ini adalah browser sumber tertutup, yang berarti mungkin ada semacam backdoor yang memungkinkan browser untuk mengumpulkan kata sandi saya.
Juga, apakah ini kasus yang sama dengan Firefox?
google-chrome
security
passwords
privacy
Selin Peck
sumber
sumber
Jawaban:
Jawaban singkat, ya. Jika sinkronisasi diaktifkan, dan Anda memilih untuk menyimpan kata sandi, kata sandi itu akan dikirim ke server Google. Yang mengatakan, data dienkripsi, dan akses ke sana terbatas.
Secara default, Google mengenkripsi data Anda yang disinkronkan menggunakan kredensial akun Anda . Google menunjukkan bahwa data ini tidak dapat didekripsi tanpa sepengetahuan kata sandi Anda, dan bahwa pada kenyataannya, ketika kredensial Anda berubah, semua data yang disinkronkan harus dihapus dari sistem mereka, dan kemudian dapat disinkronkan kembali dari perangkat Anda (dan dalam prosesnya adalah dienkripsi ulang dengan kredensial baru Anda).
Jadi, jika semuanya berfungsi dengan benar, Google sendiri dapat dipercaya, dan infrastruktur Google cukup aman untuk mencegah pihak ketiga yang berminat (baca NSA, peretas kriminal, dll) maka data Anda aman. Yang mengatakan, bagaimanapun, Google masih memiliki kemampuan untuk mendekripsi data Anda, meskipun mereka tidak membuat itu diketahui. Ini hanyalah hasil dari mereka yang menjadi bagian dari pembuatan kunci sandi (kredensial Anda), membuat mereka dalam posisi untuk menyimpan dan berpotensi menyalahgunakan kunci.
Tingkat kepercayaan ini lebih daripada yang ingin saya tempatkan di dalamnya, jadi dalam situasi ini, saya memilih untuk tidak menyimpan kata sandi atau menyinkronkan data ke layanan mereka, tetapi itu hanya preferensi saya. Hanya orang bodoh yang mempercayai semua orang, tetapi hanya orang bodoh yang tidak mempercayai siapa pun.
sumber
Itu tergantung pada pengaturan enkripsi Anda .
Dengan opsi ini, Google memiliki akses ke data Anda.
Dengan opsi ini, Google tidak memiliki akses ke data Anda, dengan asumsi mereka jujur tentang apa yang terjadi dengan frasa sandi Anda (apa yang terjadi jika Anda lupa frasa sandi Anda menjelaskan bahwa mereka tidak menyimpannya untuk keuntungan Anda), tidak punya beberapa celah yang menganga (atau pintu belakang) dalam keamanan sinkronisasi mereka, dan frasa sandi Anda cukup aman untuk menahan upaya kekerasan oleh Google (kata sandi seperti itu mungkin, tetapi sangat tidak lazim).
Anda dapat mengurangi peluang bagi Google untuk mencegat kata sandi Anda dengan menggunakan pengelola kata sandi offline seperti KeePass bersama dengan Chrome sebagai browser Anda. Anda dapat menghapus peluang sepenuhnya dengan tidak lagi menggunakan produk Google (bagaimana jika mereka benar-benar menggabungkan keylogger dengan Google Drive atau Chrome? Dan dengan Gmail, permintaan penyetelan ulang sandi dapat disadap dengan satu atau lain cara, mungkin mengakibatkan Google mengakses akun Anda, bahkan jika kata sandi Anda tidak dapat dipecahkan).
Dengan Firefox, keamanan data Anda bergantung pada seberapa aman kata sandi Akun Firefox Anda. Jika Anda memilih kata sandi yang baik, seharusnya Mozilla atau siapa pun tidak dapat mengakses kata sandi Anda. Namun, ini membuat asumsi bahwa Mozilla jujur tentang cara kerja sistem, dan tidak ada celah menganga (atau backdoor) dalam keamanan mereka. Anda dapat menambahkan ukuran keamanan tambahan dengan menjalankan server Sync pribadi Anda alih-alih menggunakan Mozilla. Karena Firefox adalah open source dan Mozilla memiliki track record yang lebih baik mengenai privasi daripada Google , kemungkinan mereka mencoba untuk kompromi data Anda tampaknya jauh lebih rendah.
Pilih level paranoia yang Anda inginkan, dan berdasarkan kebutuhan Anda. Saya tidak akan menggunakan apa pun dari Google untuk kebutuhan tingkat Snowden, tetapi untuk kebutuhan privasi biasa, saya akan menggunakan frasa sandi di Google Sync minimum (sehingga penyerang yang mengakses Akun Google Anda memiliki lapisan lain yang harus dilalui sebelum ia memiliki kata sandi Anda)
Juga, perhatikan bahwa semua ini keluar jendela jika ada yang berhasil menginstal keylogger (mungkin dilengkapi dengan pengerik layar dan perekam klik mouse untuk memerangi keyboard di layar) pada PC Anda.
sumber
Paranoia Anda bisa dibenarkan. Ya, Google dapat mengakses kata sandi Anda. Itu bahkan benar jika Anda mendefinisikan frasa sandi khusus, kecuali frasa sandi itu benar-benar acak daripada menjadi kata sandi pilihan khusus manusia. Alasannya adalah, pendekatan yang digunakan oleh Chrome untuk mengubah frasa sandi itu menjadi kunci enkripsi (PBKDF2-HMAC-SHA1 akan 1003 iterasi) sangat sederhana untuk bruteforce. Tidak memerlukan sumber daya Google, siapa pun yang mau berinvestasi kurang dari $ 1000 ke kartu grafis dapat menebak sebagian besar kata sandi dalam beberapa hari. Implementasi saat ini bahkan gagal untuk menetapkan variabel garam, yang memungkinkan frasa sandi menebak untuk semua akun secara paralel.
Implementasi Firefox Sync saat ini jauh lebih baik. Siapa pun yang hanya mengakses data di server tidak akan dapat melakukan banyak hal dengannya, perlindungannya waras. Komponen sisi klien dari perlindungan tersebut saat ini adalah suboptimal (PBKDF2-HMAC-SHA256 dengan 1000 iterasi), jadi siapa pun yang dapat mencegat hash kata sandi saat dikirim ke server akan dapat menebak kata sandi Anda dengan sebanding sedikit usaha.
Informasi tambahan:
sumber