Das Speichern Ihrer Passwörter in Ihrem Webbrowser scheint eine große Zeitersparnis zu sein. Sind die Passwörter jedoch sicher und für andere (auch für Mitarbeiter des Browserunternehmens) unzugänglich, wenn sie entfernt werden?
Die Frage
SuperUser Reader MMA ist neugierig, ob Google-Mitarbeiter Zugriff auf die in Google Chrome gespeicherten Passwörter haben (oder haben könnten):
Ich verstehe, dass wir wirklich versucht sind, unsere Passwörter in Google Chrome zu speichern. Der wahrscheinliche Vorteil ist zweifach,
- Sie müssen diese langen und kryptischen Passwörter nicht auswendig lernen und eingeben.
- Diese sind überall verfügbar, sobald Sie sich in Ihrem Google-Konto angemeldet haben.
Der letzte Punkt löste meine Zweifel aus. Da das Passwort verfügbar ist, muss sich der Speicher an einem zentralen Ort befinden, und dies sollte bei Google sein.
Meine einfache Frage lautet nun: Kann ein Google-Mitarbeiter meine Passwörter sehen?
Die Suche über das Internet ergab mehrere Artikel / Nachrichten.
Es gibt viele mehr (einschließlich dieses at), meist entlang derselben Linie, Punkte, Gegenpunkte, große Debatten. Ich erwähne sie hier nicht, führe einfach eine Suche durch, wenn du sie finden willst.
Kann ein Google-Mitarbeiter mein Passwort sehen, wenn er zu meiner ursprünglichen Abfrage zurückkehrt? Da ich das Passwort mit einer einfachen Schaltfläche anzeigen kann, können sie definitiv entschlüsselt (entschlüsselt) werden, selbst wenn sie verschlüsselt sind. Dies unterscheidet sich stark von den Passwörtern, die in Unix-ähnlichen Betriebssystemen gespeichert sind, in denen das gespeicherte Passwort niemals im Klartext angezeigt wird.
Sie verwenden einen Einweg-Verschlüsselungsalgorithmus um Ihre Passwörter zu verschlüsseln. Dieses verschlüsselte Passwort wird dann in der Passwd- oder Shadow-Datei gespeichert. Wenn Sie versuchen, sich anzumelden, wird das eingegebene Kennwort erneut verschlüsselt und mit dem Eintrag in der Datei verglichen, in der Ihre Kennwörter gespeichert sind. Wenn sie übereinstimmen, muss es sich um dasselbe Kennwort handeln, und Sie dürfen darauf zugreifen. So kann ein Superuser mein Passwort ändern, mein Konto sperren, aber er kann mein Passwort nie sehen.
Sind seine Bedenken also begründet oder wird ein kleiner Einblick seine Sorgen zerstreuen?
Die Antwort
Der SuperUser-Mitarbeiter Zeel beruhigt ihn:
Kurze Antwort: Nein *
Auf Ihrem lokalen Computer gespeicherte Kennwörter können von Chrome entschlüsselt werden, solange Ihr Betriebssystembenutzerkonto angemeldet ist. Anschließend können Sie diese im Klartext anzeigen. Das scheint zunächst schrecklich, aber wie hat das automatische Ausfüllen Ihrer Meinung nach funktioniert? Wenn dieses Kennwortfeld ausgefüllt wird, muss Chrome das echte Kennwort in das HTML-Formularelement einfügen. Andernfalls funktioniert die Seite nicht richtig und Sie können das Formular nicht senden. Und wenn die Verbindung zur Website nicht über HTTPS hergestellt wird, wird der Klartext über das Internet gesendet. Mit anderen Worten, wenn Chrome die Nur-Text-Passwörter nicht erhalten kann, sind sie völlig nutzlos. Ein One-Way-Hash ist nicht gut, weil wir sie verwenden müssen.
Jetzt sind die Passwörter tatsächlich verschlüsselt. Die einzige Möglichkeit, sie wieder in Klartext umzuwandeln, besteht darin, den Entschlüsselungsschlüssel zu haben. Dieser Schlüssel ist Ihr Google-Passwort oder ein Sekundärschlüssel, den Sie einrichten können. Wenn Sie sich bei Chrome anmelden und synchronisieren, übertragen die Google-Server die Kennwörter, Einstellungen, Lesezeichen, das automatische Ausfüllen usw. an Ihren lokalen Computer. Hier entschlüsselt Chrome die Informationen und kann sie verwenden.
Am Ende von Google werden all diese Informationen in ihrem verschlüsselten Zustand gespeichert und sie haben nicht den Schlüssel, um sie zu entschlüsseln. Ihr Kontokennwort wird anhand eines Hashs überprüft, um sich bei Google anzumelden. Selbst wenn Sie Chrome daran erinnern, ist diese verschlüsselte Version im selben Bundle wie die anderen Kennwörter versteckt und nicht zugänglich. Ein Mitarbeiter könnte also wahrscheinlich einen Speicherauszug der verschlüsselten Daten abrufen, aber es würde ihnen nichts nützen, da sie keine Möglichkeit hätten, sie zu verwenden. *
Nein, Google-Mitarbeiter können nicht auf Ihre Passwörter zugreifen, da sie auf ihren Servern verschlüsselt sind.
* *
** **.
Obwohl wir mit zeel einverstanden sind, dass es eine ziemlich sichere Wette ist (solange Ihr Computer nicht gefährdet ist), dass Ihre Passwörter tatsächlich sicher sind, während sie in Chrome gespeichert sind, ziehen wir es vor, alle unsere Anmeldungen und Passwörter in einem LastPass-Tresor zu verschlüsseln.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier.