私は長年Chrome(およびChrome Sync))を使用しています。それは、Chromeの所有者であるGoogleがすべてのパスワードを知っているということですか?
私は、GoogleがChromeを所有していること、そしてそれがクローズドソースのブラウザーであることを知ったので質問します。つまり、ブラウザーが私のパスワードを収集できるようにする何らかのバックドアが存在する可能性があります。
また、Firefoxでも同じですか?
短い答え、はい。同期が有効で、パスワードを保存することを選択した場合、そのパスワードはGoogleのサーバーに送信されます。ただし、データは暗号化されており、アクセスは制限されています。
デフォルトでは Googleはアカウントの認証情報を使用して同期データを暗号化します 。 Googleは、このデータはパスワードを知らない限り復号化できないことを示しています。実際、認証情報が変更された場合、同期されたすべてのデータをシステムから削除し、デバイスから再同期することができます(その過程で新しい認証情報で再暗号化されます)。
したがって、すべてが正常に機能していれば、Google自体も信頼でき、Googleインフラストラクチャは十分に安全であり、関心のある第三者(NSA、犯罪者のハッカーなどを読む)を排除できるため、データは安全です。ただし、Googleはまだデータを解読する機能を備えていますが、データを解読することはできません。これは、暗号化キー(ユーザーの資格情報)の作成に関係していて、キーを保存し、誤用する可能性があるためです。
このレベルの信頼は、私が彼らに課したい以上のものなので、この状況では、パスワードを保存したり、サービスにデータを同期したりしないことを選択しますが、それは私の好みです。愚か者だけがすべての人を信頼しますが、より大きな愚か者だけが誰も信用しません。
暗号化設定 によって異なります。
- Googleの認証情報で同期パスワードを暗号化する:これはデフォルトのオプションです。保存したパスワードはGoogleのサーバーで暗号化され、Googleアカウントの認証情報で保護されます。
このオプションを使用すると、Googleがデータにアクセスできます。
- 同期したすべてのデータを独自の同期パスフレーズで暗号化する:同期するように選択したすべてのデータを暗号化する場合は、これを選択します。コンピュータにのみ保存される独自のパスフレーズを提供できます。
このオプションを使用すると、Googleはあなたのデータにアクセスできません。仮定パスフレーズで何が起こるかについて正直である(パスフレーズを忘れた場合はどうなるか)彼らはあなたのためにそれを保存しないことを明確にします)、同期セキュリティにギャップホール(またはバックドア)がありません、そしてあなたのパスフレーズはGoogleによるブルートフォースの試みに耐えるのに十分安全です(そのようなパスワードは可能です) 、しかし非常に非定型)。
KeePass とChromeをブラウザとして組み合わせて使用するなどのオフラインパスワードマネージャーを使用することで、Googleがパスワードを傍受する機会を減らすことができます。この機会を完全に削除するには、 Google製品を使用しなくなった場合(実際にキーロガーがGoogleドライブまたはChromeにバンドルされている場合はどうなりますか?また、Gmailでは、パスワードのリセット要求が何らかの方法で傍受され、パスワードが解読できない場合でもGoogleがアカウントにアクセスする可能性があります) 。
Firefoxを使用すると、データのセキュリティ ヒンジがオン Firefoxアカウントのパスワードはどの程度安全ですか。適切なパスワードを選択した場合、Mozillaまたは他のユーザーがパスワードにアクセスすることは不可能になります。ただし、これは、システムがどのように機能するかについてMozillaが正直であり、セキュリティにギャップホール(またはバックドア)がないことを前提としています。 Mozillaを使用する代わりに、独自のプライベート同期 server を実行することにより、セキュリティの追加手段を追加できます。 Firefoxはオープンソースであり、Mozilla より優れている プライバシーに関する実績 Googleより がそうであるので、それらの可能性を試すデータの妥協ははるかに低いようです。
パラノイアのレベルは、必要に応じて、必要に応じて選択してください。 SnowdenレベルのニーズにはGoogleを使用しませんが、通常のプライバシーのニーズには、少なくともGoogle Syncのパスフレーズを使用します(そのため、Googleアカウントにアクセスする攻撃者は、侵入する前に別のレイヤーを通過する必要があります。パスワードがあります)。
また、PCにキーロガー(スクリーンスクレイパーとマウスクリックレコーダーで補完されている場合があります)をPCにインストールすると、このすべてが無効になります。
あなたの妄想は正当化されます。はい、Googleはあなたのパスワードにアクセスできます。これは、カスタムパスフレーズを定義した場合でも当てはまります。ただし、そのパスフレーズは、典型的な人間が選択したパスワードではなく、本当にランダムなものではありません。理由は、Chromeがそのパスフレーズを暗号化キーに変換するために使用するアプローチ(PBKDF2-HMAC-SHA1は1003回の反復になる))は、ブルートフォースに途方もなく単純です。Googleのリソースを必要としないため、 1000ドル未満のグラフィックカードへの投資を喜んで行うと、数日以内にほとんどのパスワードを推測できます。現在の実装では、可変ソルトの設定にさえ失敗し、すべてのアカウントのパスフレーズを同時に推測できます。編集(2020-03-15):Chrome 80以降、より適切な実装が使用されています。パスフレーズを設定する限り、パスワードは安全です。
現在のFirefox Syncの実装はかなり優れています。サーバー上のデータに単にアクセスするだけでは、それを使って多くのことを行うことはできません。保護は正気です。ただし、その保護のクライアント側のコンポーネントは現在最適ではありません(反復が1000のPBKDF2-HMAC-SHA256)。そのため、サーバーに送信されているパスワードハッシュを傍受できれば、だれでもパスワードを推測できます。少しの努力。
追加情報: