Os funcionários do Google podem ver minhas senhas salvas no Google Chrome?

34

Entendo que estamos realmente tentados a salvar nossas senhas no Google Chrome. O benefício provável é duas vezes,

  • Você não precisa (memorizar e) inserir essas senhas longas e enigmáticas.
  • Estes estão disponíveis onde quer que você esteja quando fizer login na sua conta do Google.

O último ponto despertou minha dúvida. Como a senha está disponível em qualquer lugar , o armazenamento deve estar em algum local central, e isso deve ser no Google.

Agora, minha pergunta simples é: um funcionário do Google pode ver minhas senhas?

A pesquisa na Internet revelou vários artigos / mensagens.

Há muitos mais (incluindo este no site ), principalmente ao longo da mesma linha, pontos, contra-pontos, grandes debates. Abstendo-me de mencioná-los aqui, basta realizar uma pesquisa, se você quiser encontrá-los.

Voltando à minha consulta original, um funcionário do Google pode ver minha senha? Como eu posso ver a senha usando um botão simples, definitivamente elas podem ser removidas (descriptografadas) mesmo que sejam criptografadas. Isso é muito diferente das senhas salvas em sistemas operacionais semelhantes ao Unix, onde a senha salva nunca pode ser vista em texto simples.

Eles usam um algoritmo de criptografia unidirecional para criptografar suas senhas. Essa senha criptografada é então armazenada no arquivo passwd ou shadow. Quando você tenta fazer login, a senha digitada é criptografada novamente e comparada com a entrada no arquivo que armazena suas senhas. Se eles corresponderem, deve ser a mesma senha e você poderá acessar. Assim, um superusuário pode alterar minha senha, pode bloquear minha conta, mas ele nunca pode ver minha senha.

Masroor
fonte
6
Você não pode "" unhash "" uma string. As funções de hash criptográfico são unidirecionais para que sejam projetadas para serem inviáveis ​​(ou seja, levar tanto tempo para fazer isso quando você fizer isso, não importará mais) para reverter. O * "nix" "algoritmo de criptografia unidirecional" "É uma função de hash.
Blacklight Shining
Obrigado, de alguma forma eu me empolguei. Eu queria dizer descriptografar.
Masroor
Contanto que essas senhas também não sejam usadas para WiFi no Android, você deve salvar. Devo dizer isso, pois o Google sabe que seus passes Wi-Fi são usados ​​no Android.
math
@math Gostaria de elaborar um pouco isso? De alguma forma, não conseguiu compreender completamente.
Masroor
Existem muitos sites de notícias que lidam com esse tópico, basta usar uma máquina de pesquisa com: "Senhas Wifi google android" concluídas. Por exemplo gizmodo.com/...
matemática

Respostas:

34

Resposta curta: Não *

As senhas armazenadas na sua máquina local podem ser descriptografadas pelo Chrome, desde que a sua conta de usuário do sistema operacional esteja conectada. E você pode visualizá-las em texto sem formatação. No começo, isso parece horrível, mas como você achou que o preenchimento automático funcionava? Quando esse campo de senha é preenchido, o Chrome deve inserir a senha real no elemento do formulário HTML - caso contrário, a página não funcionaria corretamente e você não poderá enviar o formulário. E se a conexão com o site não for HTTPS, o texto sem formatação será enviado pela Internet. Em outras palavras, se o chrome não conseguir obter as senhas de texto sem formatação, elas serão totalmente inúteis. Um hash unidirecional não é bom, porque precisamos usá-los.

Agora, na verdade, as senhas são criptografadas, a única maneira de retorná-las ao texto sem formatação é usando a chave de descriptografia. Essa chave é sua senha do Google ou uma chave secundária que você pode configurar. Quando você faz login no Chrome e sincroniza, os servidores do Google transmitem as senhas criptografadas , configurações, favoritos, preenchimento automático etc. para a sua máquina local. Aqui, o Chrome descriptografa as informações e pode usá-las.

No final do Google, todas essas informações são armazenadas em seu estado criptografado e elas não têm a chave para descriptografá-las. A senha da sua conta é verificada com um hash para fazer login no Google e, mesmo que você permita que o chrome se lembre, essa versão criptografada está oculta no mesmo pacote que as outras senhas, impossíveis de acessar. Portanto, um funcionário provavelmente poderia obter um despejo dos dados criptografados, mas isso não seria bom para eles, já que eles não teriam como usá-los. *

Portanto, não, os funcionários do Google não podem ** acessar suas senhas, pois elas são criptografadas em seus servidores.


* No entanto, não esqueça que qualquer sistema que possa ser acessado por um usuário autorizado pode ser acessado por um usuário não autorizado. Alguns sistemas são mais fáceis de quebrar do que outros, mas nenhum é à prova de falhas. . . Dito isto, acho que vou confiar no Google e nos milhões que gastam em sistemas de segurança, em qualquer outra solução de armazenamento de senhas. E diabos, eu sou um nerd fracote, seria mais fácil para bater as senhas de mim do que a criptografia quebra do Google.

** Também suponho que não exista uma pessoa que trabalhe para o Google obtendo acesso à sua máquina local. Nesse caso, você está ferrado, mas o emprego no Google não é mais um fator. Moral: Pressione Win+ Lantes de sair da máquina.

Zeel
fonte
3
O Win + L não funciona para mim, pois sou um usuário do Linux. Mas obrigado, tenho o hábito de nunca bloquear minha máquina ao sair.
Masroor
Bem, é esse sentimento que é importante. E para usuários que não são Windows, tenho certeza de que existe uma maneira fácil de criar uma tecla de atalho de bloqueio.
Zeel 7/10
6
A maioria dos linuxes usa Ctl-Alt-L para bloquear a máquina. Eu já havia usado um utilitário que bloqueava o uso do bluetooth para detectar a presença / ausência do meu telefone.
Drake Clarris
Se minha senha do Google for a chave usada para descriptografar as outras senhas que o Google armazena para mim, o Google não precisará solicitar minha senha do Google toda vez que quiser preencher automaticamente uma das minhas outras senhas? Como eles não fazem isso, me faz pensar que minha senha do Google não é a chave, pois o Google supostamente não armazena minha senha real do Google em nenhum lugar. Então, qual é a chave?
Chris Morris
Sua instância local do Chrome mantém uma cópia de todas as senhas. Não sou especialista em como exatamente esse sistema funciona e pode mudar significativamente com o tempo. Tanto quanto sei, sua senha do Google (ou outra chave, se você configurou uma) precisa ser usada para descriptografar seus dados quando você inicializa uma instalação do Chrome. Presumo que sua máquina armazene a senha ou a chave para uso futuro, para que você não precise digitá-la novamente, mas ela não será armazenada no servidor do Google.
zeel
13

Na verdade, é bastante trivial recuperar suas senhas da maioria dos navegadores. O artigo sobre segurança de senha insana foi escrito por alguém que usa principalmente o Safari e parece pensar que TEM o caminho certo. Essa é a segurança no nível do usuário por obscuridade. A pessoa que levantou a questão é um desenvolvedor que desenvolve principalmente iOS, OS X e desenvolvimento web, não desenvolvimento de segurança, e você também pode querer ler o contra - argumento do Google

No Windows, essa ferramenta da Nirsoft permite que você use todas as suas senhas em vários navegadores. Se alguém tiver acesso físico ao seu sistema, é tarde demais.

E não, é improvável que o Google permita que seus funcionários vejam suas senhas - a parte de sincronização real do navegador é criptografada - usando suas credenciais de login ou sua própria senha. O Google, como tal, não possui uma cópia não criptografada da sua senha. É uma boa prática, pois evita vazamentos dessas senhas, a tentação de fazer um pouco de amor e os governos exigem que o Google entregue senhas. Você não pode esconder o que não sabe.

Se você estiver realmente preocupado, basta usar um gerenciador de senhas de terceiros e sincronizá-lo da maneira que você confiar, ou usar um navegador da web menos comum (que essas ferramentas não suportam) com uma senha mestra. No entanto, o argumento de que o armazenamento de senha em texto sem formatação não é muito útil no dia em que a quebra de senha acelerada por GPU está disponível.

Journeyman Geek
fonte
8

Teoricamente não. Consulte https://support.google.com/chrome/answer/1181035 para obter mais detalhes, mas basicamente seus dados sincronizados (senhas, favoritos, histórico etc.) são criptografados antes de serem enviados aos servidores do Google. A criptografia usa a senha da sua conta do Google ou uma senha separada que você escolhe apenas para fins de sincronização. Para manter as coisas sincronizadas sem precisar digitar essa senha o tempo todo, a senha de sincronização precisa ser armazenada no computador local.

Para que um funcionário do Google veja suas senhas (supondo que não tenha acesso à sua máquina local), ele precisará saber a senha da conta do Google ou a senha de sincronização. Suponho que a senha da conta do Google esteja armazenada em algum tipo de hash do lado deles, para que não permita que eles descriptografem prontamente seus dados sincronizados.

Só para esclarecer, existem dois problemas distintos de armazenamento de senhas no Chrome. Uma é como as senhas são armazenadas localmente, e seus vários links falam sobre como essas senhas podem ser facilmente visualizadas se alguém puder obter acesso à sua conta local . A outra questão é o que discuti acima, como as senhas são enviadas aos servidores do Google, para que possam estar disponíveis em várias instalações do Chrome.

jjlin
fonte
1
Para adicionar a resposta de jjlin: Isso não significa física de acesso, isso significa apenas acesso de alguma forma que permite que uma pessoa o acesso a um arquivo em seu computador (como um vírus)
Jon