Google 员工可以看到我在 Google Chrome 中保存的密码吗?

Google 员工可以看到我在 Google Chrome 中保存的密码吗?

我知道我们确实很想在 Google Chrome 中保存密码。这样做的好处有两个:

  • 您不需要(记住并)输入那些长而神秘的密码。
  • 只要您登录 Google 帐户,无论您身在何处,都可以使用这些功能。

最后一点引起了我的怀疑。由于密码可用任何地方,存储必须位于某个中心位置,而这个位置应该是在 Google。

现在,我的简单问题是,Google 员工可以看到我的密码吗?

通过互联网搜索发现了几篇文章/消息。

还有更多(包括这个本网站),大部分都是同一条思路,观点、反观点、激烈的辩论。我在这里就不提了,如果你想找到它们,只需进行搜索即可。

回到我最初的疑问,Google 员工能看到我的密码吗?由于我可以使用一个简单的按钮查看密码,因此即使密码是加密的,也绝对可以解密。这与类 Unix 操作系统中保存的密码非常不同,在类 Unix 操作系统中,保存的密码永远无法以纯文本形式看到。

他们使用单向加密算法加密您的密码。然后,此加密密码将存储在 passwd 或 shadow 文件中。当您尝试登录时,您输入的密码将再次加密,并与存储密码的文件中的条目进行比较。如果它们匹配,则密码必须相同,并且允许您访问。因此,超级用户可以更改我的密码,可以阻止我的帐户,但他永远看不到我的密码。

答案1

简短回答:否*

只要您的 OS 用户帐户已登录,Chrome 就可以解密存储在您本地机器上的密码。然后您就可以以纯文本形式查看这些密码。乍一看这似乎很糟糕,但您认为自动填充是如何工作的?当该密码字段被填写时,Chrome 必须将真实密码插入 HTML 表单元素 - 否则页面将无法正常工作,您无法提交表单。如果与网站的连接不是通过 HTTPS,则纯文本将通过互联网发送。换句话说,如果 Chrome 无法获取纯文本密码,那么它们就完全没用了。单向哈希是没有用的,因为我们需要使用它们。

现在密码实际上已经加密,唯一能将其恢复为纯文本的方法就是拥有解密密钥。该密钥是您的 Google 密码,或者您可以设置的辅助密钥。当您登录 Chrome 并同步时,Google 服务器会传输加密密码、设置、书签、自动填充等,保存到本地计算机。Chrome 将解密这些信息并能够使用它。

在 Google 端,所有这些信息都以加密状态存储,他们没有解密的密钥。您的帐户密码将根据哈希值进行检查以登录 Google,即使您让 Chrome 记住它,该加密版本也会与其他密码隐藏在同一包中,无法访问。因此,员工可能会获取加密数据的转储,但这对他们没有任何好处,因为他们无法使用它。*

所以,谷歌员工无法访问您的密码,因为密码在他们的服务器上是加密的。


* 但是,不要忘记,任何可由授权用户访问的系统都可以由未经授权的用户访问。有些系统比其他系统更容易被破解,但没有一个系统是万无一失的。 . . 话虽如此,我认为我会相信谷歌和他们在安全系统上花费的数百万美元,而不是任何其他密码存储解决方案。见鬼,我是个懦弱的书呆子,更容易窃取我的密码比破解谷歌的加密更有帮助。

** 我还假设没有恰巧为 Google 工作的人能够访问您的本地计算机。在这种情况下,您就完蛋了,但在 Google 工作实际上不再是一个因素。道德:离开机器前按Win+ 。L

答案2

实际上,从大多数浏览器检索密码非常简单。这篇疯狂的密码安全文章是由主要使用 Safari 的人撰写的,他似乎认为这一定是正确的方法。这是通过隐蔽性实现的用户级安全性。提出这个问题的人是一位主要从事 iOS、OS X 和 Web 开发的开发人员,而不是安全开发人员,你可能需要阅读谷歌的反驳

在 Windows 上,来自 Nirsoft 的这个工具让我能够轻松地从多个浏览器窃取您的所有密码。如果有人能够物理访问您的系统,那就太晚了。

不,谷歌不太可能允许其员工看到你的密码——浏览器的实际同步部分是加密的——使用你的登录凭据或你自己的密码。谷歌本身没有你的密码的未加密副本。这是一种很好的做法,因为它可以防止上述密码泄露,防止你做一点小事情的诱惑爱意以及政府要求谷歌交出密码。你不能泄露你不知道的事情。

如果你真的担心,只需使用第三方密码管理器并以你信任的方式同步它,或者使用不太常见的网络浏览器(这些工具不支持)和主密码。尽管如此,纯文本密码存储在当今没有多大用处的说法GPU 加速密码破解可用。

答案3

理论上不会。请参阅https://support.google.com/chrome/answer/1181035了解详细信息,但基本上,您的同步数据(密码、书签、历史记录等)在发送到 Google 服务器之前都会进行加密。加密使用您的 Google 帐户密码或您为同步而选择的单独密码。为了保持同步而不必一直输入该密码,同步密码必须存储在您的本地计算机上。

如果 Google 员工无法访问您的本地计算机,他们必须知道 Google 帐户密码或同步密码才能查看您的密码(假设他们无权访问您的本地计算机)。我假设 Google 帐户密码以某种哈希形式存储在他们这边,这样他们就无法轻易解密您的同步数据。

需要说明的是,Chrome 存在两个不同的密码存储问题。一个是密码在本地的存储方式,您的各种链接都谈到了这些密码很容易被查看如果有人可以访问您的本地帐户另一个问题就是我上面讨论过的,即如何将密码发送到 Google 的服务器,以便可以在多个 Chrome 安装中使用它们。

相关内容