パスワードはGoogleに保存されますかChromeログアウトしても安全ですか？

Question

ChromeはOSのパスワードストレージメカニズムを使用してコンピュータのパスワードを保護することを理解しています。 ¹ これらのパスワードは、クラウドで同期するために、私の選択したパスフレーズで（私の場合は）保護できることも理解しています。

ローカルのLinux/Windowsアカウントからログアウトしてもパスワードは安全ですか？

両方のLinuxに手段が存在します² およびWindows ユーザーアカウントのパスワードをクリア/変更するため。攻撃者はローカルアカウントのパスワードをリセットしてログインし、Chromeを開くだけで、自分のパスワードを使用できるようになりますか？または、OSパスワード保護メカニズムがこれを防止していますか？

キーリング/ Windows DPAPIがアカウントストアのパスワードからパスワードストア復号化キーを取得することを示すソースがいくつかあります。 ⁴

GoogleはChrome「セッション」と同じように保護されていますか？

私は、内部で何が起こっているのか理解せずにすべてが安全であると「信頼する」ことをためらっています。

Chromeからマスターパスワードの入力を求められても、彼らがその機能を実装したくない場合は、気分が良いでしょう。 ⁵ 私のデータが私のOSアカウントのログインによって保護されていることを知っている限り、私はそれで大丈夫です。

cpast · Answer

パスワードストアキーがアカウントパスワードから派生している場合、アカウントパスワードを強制的にリセットしてアクセスすることはできません。その場合、パスワードストアはパスワードから派生したキーで暗号化されます。復号化するにはパスワードが必要です。パスワードは、OSにそれを表示する権限があることを通知するためだけに使用されるのではなく（通常のファイル権限のように）、それがストアを復号化する唯一の方法です。なぜなら、復号化キーはディスク上のどこにも保存されないからです（いつでも再生成されます）パスワードを入力します）。これが暗号化とアクセス制御の大きな違いです。アクセス制御は、OSに依存して何かにアクセスしたり、させたりしないため、一般にバイパスできますが、データを取得する唯一の方法は、ユーザーの頭。

OS パスワードがわからない：パスワードのハッシュが保存されますが、パスワードは保存されず、キーも保存されません。パスワードの入力以外の方法でアカウントにアクセスした人は、パスワードストアを復号化できません。これには、パスワードのリセットが含まれます。通常変更する場合、OSは古いもの（ログイン用に提供されたか、パスワードを変更するために提供されたもの）でストアを復号化し、新しいもので再暗号化して保存できます。パスワードリセットツールでパスワードを変更した場合、OSはパスワードハッシュを上書きしますが、ストアを復号化して再暗号化することはできません。ユーザーがパスワードを知っていて、何らかの理由でパスワードをリセットする必要があった場合に備えて、古いパスワードを保持することがあります（この場合、ユーザーが次回アカウントにログインして暗号化キーを変更するときにパスワードを入力できます）が、データは残ります元のパスワードを入力して復号するまでアクセスできません。