web-dev-qa-db-ja.com

Google社員はGoogle Chromeに保存された自分のパスワードを見ることができますか?

パスワードをGoogle Chromeに保存したくて仕方がないことを理解しています。考えられる利点は2つあります。

  • 長くて暗号化されたパスワードを(記憶して)入力する必要はありません。
  • これらは、Googleアカウントにログインするとどこからでも利用できます。

最後の点は私の疑問を引き起こしました。パスワードはanywhereで利用できるため、ストレージは中央の場所にある必要があり、これはGoogleにある必要があります。

さて、私の簡単な質問は、Googleの従業員が私のパスワードを見ることはできますか?

インターネットで検索すると、いくつかの記事/メッセージが見つかりました。

さらに多くの( this one を含むthis siteを含む)、ほとんど同じ線に沿って、ポイント、カウンターポイント、巨大な議論。ここでは言及しないでください。見つけたい場合は検索してください。

元のクエリに戻ると、Googleの従業員は私のパスワードを見ることができますか?簡単なボタンでパスワードを確認できるので、暗号化してもハッシュ化解除(復号化)できます。これは、保存されたパスワードをプレーンテキストで見ることができないUnixライクなOSに保存されたパスワードとは大きく異なります。

一方向の暗号化アルゴリズムを使用 パスワードを暗号化します。この暗号化されたパスワードは、passwdまたはshadowファイルに保存されます。ログインしようとすると、入力したパスワードが再度暗号化され、パスワードを保存するファイルのエントリと比較されます。それらが一致する場合、それは同じパスワードでなければならず、アクセスが許可されます。したがって、スーパーユーザーは私のパスワードを変更したり、私のアカウントをブロックしたりできますが、彼は私のパスワードを見ることはできません。

34
Masroor

短い答え:いいえ*

OSのユーザーアカウントがログインしている限り、ローカルマシンに保存されているパスワードをChromeで復号化できます。その後、それらをプレーンテキストで表示できます。最初はこれは恐ろしいように見えますが、オートフィルはどのように機能したと思いますか?そのパスワードフィールドに入力すると、Chromeが実際のパスワードをHTMLフォーム要素に挿入する必要があります。そうしないと、ページが正しく機能せず、フォームを送信できません。また、Webサイトへの接続がHTTPS経由でない場合、プレーンテキストはインターネット経由で送信されます。つまり、chromeがプレーンテキストのパスワードを取得できない場合、それらはまったく役に立ちません。一方向ハッシュは使用する必要があるため、良くありません。

現在、パスワードは実際には暗号化されています。パスワードをプレーンテキストに戻す唯一の方法は、復号化キーを取得することです。そのキーは、Googleのパスワード、または設定できる2番目のキーです。 Chromeにログインして同期すると、Googleサーバーはencryptedパスワード、設定、ブックマーク、自動入力などをローカルマシンに送信します。ここでChromeは情報を復号化して使用できるようになります。

Googleの側では、すべての情報は暗号化された状態で保存されており、暗号化を解除するための鍵がありません。アカウントのパスワードはハッシュに照らしてチェックされ、Googleにログインします。chromeにそれを記憶させても、暗号化されたバージョンは他のパスワードと同じバンドルに隠されており、アクセスできません。したがって、従業員はおそらく暗号化されたデータのダンプを取得することができますが、それを使用する方法がないため、それは何の役にも立ちません。*

いいえ、Googleの従業員はできません** パスワードはサーバーで暗号化されているため、パスワードにアクセスします。


*ただし、許可されたユーザーがアクセスできるシステムは、許可されていないユーザーがアクセスできることを忘れないでください。一部のシステムは他のシステムよりも壊れやすいですが、どれもフェイルプルーフではありません。 。 。そうは言っても、私は他のどのパスワードストレージソリューションよりも、Googleと彼らがセキュリティシステムに費やす数百万人を信頼すると思います。そして、まあ、私は弱々しいオタクです。Googleの暗号化を解読するよりもbeat私からパスワードを取得する方が簡単でしょう。

**また、たまたまGoogleで働いていて、ローカルマシンにアクセスする人がいないと想定しています。その場合、あなたは頭を悩ませますが、Googleでの雇用は、もはやもはや要因ではありません。 モラル:ヒット WinL マシンを離れる前。

34
zeel

実際、ほとんどのブラウザからパスワードを取得するのは簡単です。非常識なパスワードセキュリティの記事は、主にSafariを使用している人によって書かれており、HASが正しい方法であると考えているようです。これは、あいまいさによるユーザーレベルのセキュリティです。問題を提起したのは、セキュリティ開発ではなく、主にiOS、OS X、およびWeb開発を行う開発者であり、あなたはこの記事を読みたくなるかもしれません Googleの反対意見

Windowsでは、 Nirsoftのこのツール を使用すると、複数のブラウザからすべてのパスワードを簡単に盗み取ることができます。誰かがあなたのシステムに物理的にアクセスできる場合、それは遅すぎます。

そして、いいえ、Googleが従業員にあなたのパスワードを見ることを許可することはありそうもありません-ブラウザの実際の同期部分は、ログイン資格情報またはあなた自身のパスフレーズを使用して暗号化されます。 Google自体には、暗号化されていないパスワードのコピーはありません。上記のパスワードの漏えい、少しの誘惑 loveint を防止し、政府からのGoogleへのパスワードの引き渡しを要求するため、これは良い習慣です。あなたは知らないものを戦うことはできません。

本当に心配な場合は、サードパーティのパスワードマネージャーを使用して信頼できる方法で同期するか、マスターパスワードを使用してあまり一般的ではないWebブラウザー(これらのツールではサポートされていません)を使用してください。それにもかかわらず、プレーンテキストのパスワードストレージは GPU加速パスワードクラッキング が利用可能な日にはあまり有用ではないという主張。

13
Journeyman Geek

理論的にはそうではありません。詳細については https://support.google.com/chrome/answer/1181035 を参照してください。ただし、同期されたデータ(パスワード、ブックマーク、履歴など)は、送信される前に暗号化されますGoogleのサーバー。暗号化では、Googleアカウントのパスワード、または同期の目的で選択した別のパスワードを使用します。常にそのパスワードを入力する必要なく同期を維持するには、同期パスワードをローカルコンピュータに保存する必要があります。

Googleの従業員がパスワードを確認するには(ローカルマシンにアクセスできない場合)、Googleアカウントのパスワードまたは同期パスワードを知っている必要があります。 Googleアカウントのパスワードは、ハッシュ化された形式で保存されているため、同期されたデータを簡単に復号化できないと思います。

明確にするために、Chromeに関しては、2つの異なるパスワードストレージの問題があります。 1つは、パスワードがローカルに保存される方法であり、さまざまなリンクは、誰かがローカルアカウントにアクセスできる場合にパスワードを簡単に表示する方法について説明しています。もう1つの問題は、上記で説明したことです。つまり、パスワードがGoogleのサーバーに送信され、複数のChromeインストールで使用できるようにするためです。

8
jjlin