Nhân viên Google có thể xem Mật khẩu Google Chrome đã lưu của tôi không?

Lưu trữ mật khẩu của bạn trong trình duyệt web có vẻ như là một trình tiết kiệm thời gian tuyệt vời, nhưng là mật khẩu an toàn và không thể truy cập được đối với người khác (ngay cả nhân viên của công ty trình duyệt) khi bị mất?

Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ sự hỗ trợ của SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web Hỏi & Đáp do cộng đồng điều khiển.

Câu hỏi

Người đọc SuperUser MMA rất tò mò nếu nhân viên của Google có (hoặc có thể có) quyền truy cập vào mật khẩu mà anh ta lưu trữ trong Google Chrome:

Tôi hiểu rằng chúng tôi thực sự muốn lưu mật khẩu của mình trong Google Chrome. Lợi ích có thể là hai lần,

• Bạn không cần (ghi nhớ và) nhập các mật khẩu dài và khó hiểu đó.
• Chúng có sẵn mọi lúc mọi nơi khi bạn đăng nhập vào tài khoản Google của mình.

Điểm cuối cùng làm dấy lên nghi ngờ của tôi. Vì mật khẩu có sẵn bất cứ nơi nào, bộ nhớ phải ở một số vị trí trung tâm và cái này phải ở Google.

Bây giờ, câu hỏi đơn giản của tôi là, một nhân viên Google có thể thấy mật khẩu của tôi không?

Tìm kiếm trên Internet cho thấy một số bài viết / tin nhắn.

• Bạn có lưu mật khẩu trong Chrome không? Có lẽ bạn nên xem xét lại: Nói về mật khẩu của bạn bị đánh cắp bởi một người có quyền truy cập vào tài khoản máy tính của bạn. Không có gì đề cập về bảo mật lưu trữ trung tâm và lỗ hổng. Thậm chí còn có phản hồi từ lãnh đạo công nghệ bảo mật trình duyệt Chrome về vấn đề đầu tiên.
• Chiến lược bảo mật mật khẩu điên rồ của Chrome: Chủ yếu dọc theo cùng một dòng. Bạn có thể đánh cắp mật khẩu từ ai đó nếu bạn có quyền truy cập vào tài khoản máy tính.
• Cách đánh cắp mật khẩu được lưu trong Google Chrome chỉ với 5 bước đơn giản: Dạy bạn cách thực hiện hành động được đề cập trong hai phần trước khi bạn có quyền truy cập vào tài khoản của người khác.

Có nhiều hơn nữa (bao gồm cả cái này tại trang này), chủ yếu dọc theo cùng một dòng, điểm, điểm phản biện, các cuộc tranh luận lớn. Tôi không đề cập đến chúng ở đây, chỉ cần thực hiện tìm kiếm nếu bạn muốn tìm thấy chúng.

Quay trở lại truy vấn ban đầu của tôi, một nhân viên Google có thể thấy mật khẩu của tôi không? Vì tôi có thể xem mật khẩu bằng một nút đơn giản, chắc chắn chúng có thể được xóa (giải mã) ngay cả khi được mã hóa. Điều này rất khác với mật khẩu được lưu trong HĐH giống Unix nơi mật khẩu đã lưu không bao giờ có thể nhìn thấy trong văn bản thuần túy.

Họ sử dụng thuật toán mã hóa một chiều để mã hóa mật khẩu của bạn. Mật khẩu được mã hóa này sau đó được lưu trữ trong tệp passwd hoặc bóng. Khi bạn cố gắng đăng nhập, mật khẩu bạn nhập sẽ được mã hóa lại và so sánh với mục nhập trong tệp lưu trữ mật khẩu của bạn. Nếu chúng khớp, nó phải cùng một mật khẩu và bạn được phép truy cập. Do đó, một siêu người dùng có thể thay đổi mật khẩu của tôi, có thể chặn tài khoản của tôi, nhưng anh ta không bao giờ có thể nhìn thấy mật khẩu của tôi.

Vì vậy, mối quan tâm của anh ấy có cơ sở hay sẽ một chút sáng suốt xua tan nỗi lo của anh ấy?

Câu trả lời

Cộng tác viên siêu người dùng Zeel giúp đưa tâm trí của anh ấy thoải mái:

Câu trả lời ngắn: Không *

Mật khẩu được lưu trữ trên máy cục bộ của bạn có thể được Chrome giải mã, miễn là tài khoản người dùng HĐH của bạn được đăng nhập. Và sau đó bạn có thể xem chúng bằng văn bản thuần túy. Lúc đầu điều này có vẻ kinh khủng, nhưng bạn nghĩ auto-fill hoạt động như thế nào? Khi trường mật khẩu đó được điền vào, Chrome phải chèn mật khẩu thực vào thành phần biểu mẫu HTML - nếu không trang sẽ không hoạt động đúng và bạn không thể gửi biểu mẫu. Và nếu kết nối đến trang web không qua HTTPS, thì văn bản đơn giản sẽ được gửi qua internet. Nói cách khác, nếu chrome không thể có được mật khẩu văn bản đơn giản thì chúng hoàn toàn vô dụng. Băm một chiều là không tốt, bởi vì chúng ta cần sử dụng chúng.

Bây giờ mật khẩu trên thực tế được mã hóa, cách duy nhất để đưa chúng trở lại văn bản đơn giản là có khóa giải mã. Khóa đó là mật khẩu Google của bạn hoặc khóa phụ bạn có thể thiết lập. Khi bạn đăng nhập vào Chrome và đồng bộ hóa, các máy chủ của Google sẽ truyền được mã hóa mật khẩu, cài đặt, đánh dấu, tự động điền, v.v. vào máy cục bộ của bạn. Tại đây Chrome sẽ giải mã thông tin và có thể sử dụng thông tin đó.

Cuối cùng, tất cả thông tin đó được lưu trữ ở trạng thái được mã hóa và họ không có chìa khóa để giải mã nó. Mật khẩu tài khoản của bạn được kiểm tra dựa vào hàm băm để đăng nhập vào Google và ngay cả khi bạn để chrome nhớ nó, phiên bản được mã hóa đó được ẩn trong cùng gói với các mật khẩu khác, không thể truy cập. Vì vậy, một nhân viên có thể lấy một đống dữ liệu được mã hóa, nhưng nó sẽ không giúp ích gì cho họ, vì họ sẽ không có cách nào để sử dụng nó. *

Vì vậy, không, nhân viên của Google không thể ** truy cập mật khẩu của bạn, vì chúng được mã hóa trên máy chủ của họ.

* Tuy nhiên, đừng quên rằng bất kỳ hệ thống nào có thể được truy cập bởi người dùng được ủy quyền đều có thể được truy cập bởi người dùng trái phép. Một số hệ thống dễ bị hỏng hơn các hệ thống khác, nhưng không có hệ thống nào không chứng minh được Điều đó, tôi nghĩ rằng tôi sẽ tin tưởng Google và hàng triệu họ chi cho các hệ thống bảo mật, hơn bất kỳ giải pháp lưu trữ mật khẩu nào khác. Và chết tiệt, tôi là một mọt sách ngu ngốc, sẽ dễ dàng đánh bại mật khẩu của tôi hơn là phá vỡ mã hóa của Google.

** Tôi cũng giả định rằng không có người nào tình cờ làm việc để Google có quyền truy cập vào máy cục bộ của bạn. Trong trường hợp đó bạn bị lừa, nhưng việc làm tại Google thực sự không còn là yếu tố nữa. Đạo đức: Lượt Win + L trước khi rời máy.

Mặc dù chúng tôi đồng ý với zeel rằng đây là một vụ cá cược khá an toàn (miễn là máy tính của bạn không bị xâm phạm) rằng mật khẩu của bạn thực sự an toàn khi được lưu trữ trong Chrome, chúng tôi muốn mã hóa tất cả thông tin đăng nhập và mật khẩu của chúng tôi trong kho tiền LastPass.

Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.