Googleの従業員は私の保存したGoogle Chromeのパスワードを見ることができますか?
あなたのWebブラウザにあなたのパスワードを保存することは非常に時間節約のように思えますが、さびれたとき他の人(ブラウザ会社の従業員でさえ)にとってパスワードは安全でアクセス不可能です。?
本日の質疑応答セッションは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの下位区分であるSuperUserの好意により提供されます。.
質問
Googleの従業員がGoogle Chromeに保存しているパスワードにアクセスする(またはアクセスする可能性がある)場合、SuperUserリーダーのMMAは興味深いものです。
パスワードをGoogle Chromeに保存することは本当に魅力的なことです。考えられる利点は2つあります。,
- あなたは(暗記して)それらの長くて不可解なパスワードを入力する必要はありません。.
- Googleアカウントにログインすれば、どこにいても利用できます。.
最後の点は私の疑問を引き起こしました。パスワードが利用可能なので どこでも, ストレージは中央のどこかになければならず、これはGoogleにあるはずです。.
さて、私の簡単な質問は、Googleの従業員が私のパスワードを見ることができるかどうかです。?
インターネットで検索すると、いくつかの記事/メッセージが明らかになりました。.
- Chromeにパスワードを保存しますか?たぶん、あなたは再考する必要があります:あなたのパスワードがあなたのコンピュータアカウントにアクセスすることができる誰かによって盗まれるという話。中央ストレージのセキュリティと脆弱性については何も言及されていません。最初の問題についてはChromeブラウザのセキュリティ技術者からの返事さえあります.
- Chromeの非常識なパスワードセキュリティ戦略:主に同じ方向に沿っている。コンピュータアカウントにアクセスできる場合は、誰かからパスワードを盗むことができます.
- 5つの簡単なステップでGoogle Chromeに保存されたパスワードを盗む方法:実際にどのように実行するかをあなたに教えます 行為 あなたが他の誰かのアカウントにアクセスできるとき、前の二つで言及されました.
もっとたくさんあります。 このサイト)、ほぼ同じ線に沿って、ポイント、カウンターポイント、巨大な議論。私はここでそれらに言及することを控えます、あなたがそれらを見つけたいならば単に検索を実行してください.
元のクエリに戻って、Googleの従業員が自分のパスワードを確認できますか。簡単なボタンを使ってパスワードを見ることができるので、たとえ暗号化されていても、確実にハッシュを解読(復号)することができます。これは、保存されたパスワードがプレーンテキストで表示されることが決してないUnix風のOSに保存されたパスワードとは大きく異なります。.
一方向の暗号化アルゴリズムを使用してパスワードを暗号化します。この暗号化パスワードは、passwdファイルまたはshadowファイルに格納されます。ログインしようとすると、入力したパスワードは再度暗号化され、パスワードを格納しているファイルのエントリと比較されます。それらが一致する場合、それは同じパスワードでなければなりません、そしてあなたはアクセスを許可されます。したがって、スーパーユーザーは自分のパスワードを変更したり、自分のアカウントをブロックしたりできますが、自分のパスワードを見ることはできません。.
それで、彼の懸念は十分に根拠があるか、または少しの洞察が彼の心配を払拭するでしょう?
答え
SuperUserの寄稿者であるZeelは、彼の心を安らぎに導きます。
短い答え:いいえ*
OSのユーザーアカウントがログインしている限り、ローカルコンピュータに保存されているパスワードはChromeで復号化できます。そして、それらをプレーンテキストで表示できます。最初はこれはひどいようですが、自動入力がどのように機能したと思いましたか?そのパスワードフィールドに入力すると、Chromeは実際のパスワードをHTMLフォーム要素に挿入する必要があります。そうしないと、ページが正しく機能せず、フォームを送信できなくなります。 Webサイトへの接続がHTTPS経由でない場合は、プレーンテキストがインターネット経由で送信されます。言い換えれば、もしchromeがプレーンテキストのパスワードを入手できなければ、それらは全く役に立たなくなります。一方向ハッシュは、使用する必要があるため、良くありません。.
現在、パスワードは実際には暗号化されています。プレーンテキストに戻す唯一の方法は、復号化キーを入手することです。そのキーはあなたのGoogleパスワード、またはあなたが設定できる二次キーです。 Chromeにログインして同期すると、Googleサーバーは 暗号化 あなたのローカルマシンにパスワード、設定、ブックマーク、自動入力など。ここでChromeは情報を復号化し、それを使用することができるようになります.
Googleの側では、そのすべての情報は暗号化された状態で保存されており、復号化するための鍵はありません。あなたのアカウントのパスワードはハッシュに照らしてグーグルにログインするためにチェックされます、そしてあなたがそれをchromeに覚えさせたとしても、その暗号化されたバージョンは他のパスワードと同じバンドルに隠され、アクセスできません。そのため、従業員はおそらく暗号化されたデータのダンプを取得することができましたが、使用する方法がないため、これは役に立ちません。
いいえ、Googleの従業員は自分のサーバーで暗号化されているため、**パスワードにアクセスすることはできません。.
* ただし、許可されたユーザーがアクセスできるシステムには、許可されていないユーザーがアクセスできることを忘れないでください。他のシステムよりも壊れやすいシステムもありますが、耐障害性のあるシステムもありません。それでも、他のパスワード保存ソリューションよりも、Googleやセキュリティシステムに費やす何百万ものユーザーを信頼すると思います。それに、私は変わったオタクです。Googleの暗号化を破るよりも、自分のパスワードを破ったほうが簡単です。.
** 私はまた、Googleがあなたのローカルマシンにアクセスするためにたまたま働いている人がいないと仮定しています。その場合あなたは窮屈ですが、Googleでの雇用は実際にはもはや要因ではありません。道徳的:機械を離れる前にWin + Lを押す.
Chromeに保存されている間、パスワードが実際に安全であることは(コンピュータが危険にさらされない限り)かなり安全な策であるとZeelは同意しますが、ログインとパスワードはすべてLastPass Vaultで暗号化することをお勧めします。.
説明に追加するものがありますか?コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか?こちらのディスカッションスレッドをチェックしてください。.