Estou usando o Chrome (e o Chrome Sync) há muitos anos. Isso significa que o Google, proprietário do Chrome, conhece todas as minhas senhas?
Pergunto porque percebi que o Google é dono do Chrome e também é um navegador de código fechado, o que significa que pode haver algum tipo de backdoor que permita ao navegador coletar minhas senhas.
Além disso, é o mesmo caso com o Firefox?
google-chrome
security
passwords
privacy
Selin Peck
fonte
fonte
Respostas:
Resposta curta, sim. Se a sincronização estiver ativada e você optar por salvar uma senha, essa senha será enviada aos servidores do Google. Dito isto, os dados são criptografados e o acesso a eles é limitado.
Por padrão, o Google criptografa seus dados sincronizados usando as credenciais da sua conta . O Google indica que esses dados não podem ser descriptografados sem o conhecimento da sua senha e que, de fato, quando suas credenciais são alteradas, todos os dados sincronizados devem ser excluídos de seus sistemas e podem ser sincronizados novamente a partir de seus dispositivos (e no processo é criptografado com suas novas credenciais).
Portanto, se tudo estiver funcionando corretamente, o próprio Google pode ser confiável e a infraestrutura do Google é suficientemente segura para manter terceiros interessados fora (leia NSA, hackers criminais etc.), então seus dados estão seguros. Dito isto, no entanto, o Google ainda tem a capacidade de descriptografar seus dados, embora eles não o façam saber. Isso é simplesmente o resultado de eles participarem da criação da chave de criptografia (suas credenciais), deixando-os em uma posição de salvar e potencialmente usar mal as chaves.
Esse nível de confiança é mais do que eu gostaria de colocar neles; portanto, nessa situação, eu escolheria não salvar senhas ou sincronizar dados com seus serviços, mas essa é apenas a minha preferência. Apenas um tolo confia em todos, mas apenas um tolo maior não confia em ninguém.
fonte
Depende das suas configurações de criptografia .
Com esta opção, o Google tem acesso aos seus dados.
Com esta opção, o Google não tem acesso aos seus dados, assumindo que eles estão sendo honestos sobre o que acontece com a sua senha (o que acontece se você esquecer sua senha deixa claro que eles não armazená-lo em seu benefício), não tem algum buraco (ou backdoor) na segurança de sincronização, e sua senha é segura o suficiente para suportar uma tentativa de força bruta do Google (essa senha é possível, mas muito atípica).
Você pode reduzir a oportunidade de o Google interceptar suas senhas usando um gerenciador de senhas offline como o KeePass em conjunto com o Chrome como seu navegador. Você pode remover a oportunidade completamente sem usar mais os produtos do Google (e se eles realmente incluíssem um keylogger no Google Drive ou Chrome? mesmo que suas senhas não sejam quebráveis).
Com o Firefox, a segurança dos seus dados depende da segurança da senha da sua conta do Firefox. Se você escolher uma boa senha, deve ser impossível para a Mozilla ou qualquer pessoa acessar suas senhas. No entanto, isso pressupõe que a Mozilla esteja sendo honesta sobre como o sistema funciona e que não há brechas (ou backdoor) em sua segurança. Você pode adicionar uma medida adicional de segurança executando seu próprio servidor Sync privado em vez de usar o Mozilla. Como o Firefox é de código aberto e o Mozilla tem um histórico melhor em relação à privacidade do que o Google , a probabilidade de eles tentarem comprometer seus dados parece muito menor.
Escolha seu nível de paranóia como quiser e com base em suas necessidades. Eu não usaria nada do Google para as necessidades no nível Snowden, mas para as necessidades de privacidade comum, eu usaria uma frase secreta no Google Sync no mínimo (para que um invasor que acesse sua Conta do Google tenha outra camada para passar antes que ele tem suas senhas).
Além disso, observe que tudo isso desaparece se alguém conseguir instalar um keylogger (talvez complementado por um raspador de tela e um gravador de cliques do mouse para combater teclados na tela) no seu PC.
fonte
Sua paranóia é bem justificada. Sim, o Google pode acessar suas senhas. Isso é verdade mesmo se você definiu uma senha personalizada, a menos que seja realmente aleatória, em vez de ser uma senha tipicamente escolhida por humanos. O motivo é que a abordagem usada pelo Chrome para converter essa senha em uma chave de criptografia (PBKDF2-HMAC-SHA1 fará 1003 iterações) é ridiculamente simples de usar. Não é necessário os recursos do Google, qualquer pessoa disposta a investir menos de US $ 1000 em uma placa gráfica pode adivinhar a maioria das senhas dentro de alguns dias. A implementação atual até falha em definir uma variável salt, o que permite adivinhar frases secretas para todas as contas em paralelo.
A implementação atual do Firefox Sync é consideravelmente melhor. Qualquer um que simplesmente acesse dados no servidor não poderá fazer muito com ele, a proteção é sensata. No entanto, no momento, o componente dessa proteção no lado do cliente é subótimo (PBKDF2-HMAC-SHA256 com 1000 iterações); portanto, qualquer pessoa que possa interceptar o hash da senha à medida que está sendo enviada ao servidor poderá adivinhar sua senha comparativamente. pouco esforço.
Informação adicional:
fonte