Page d'accueil » comment » Les employés de Google peuvent-ils consulter mes mots de passe Google Chrome enregistrés?

    Les employés de Google peuvent-ils consulter mes mots de passe Google Chrome enregistrés?

    Stocker vos mots de passe dans votre navigateur Web semble être un gain de temps considérable, mais les mots de passe sont sécurisés et inaccessibles aux autres (même aux employés de la compagnie du navigateur) lorsqu'ils sont rangés loin.?

    La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..

    La question

    Le lecteur superutilisateur MMA est curieux de savoir si les employés de Google ont (ou pourraient avoir) accès aux mots de passe qu'il stocke dans Google Chrome:

    Je comprends que nous sommes vraiment tentés de sauvegarder nos mots de passe dans Google Chrome. L'avantage probable est deux fois,

    • Vous n'avez pas besoin de (mémoriser et) saisir ces mots de passe longs et cryptés.
    • Celles-ci sont disponibles où que vous soyez une fois que vous vous êtes connecté à votre compte Google..

    Le dernier point a suscité mon doute. Puisque le mot de passe est disponible nulle part, le stockage doit être dans un emplacement central, et cela devrait être chez Google.

    Ma question simple est la suivante: un employé de Google peut-il voir mes mots de passe??

    La recherche sur Internet a révélé plusieurs articles / messages.

    • Enregistrez-vous les mots de passe dans Chrome? Peut-être devriez-vous reconsidérer: Parlez du vol de vos mots de passe par une personne ayant accès à votre compte d'ordinateur. Rien n'est mentionné sur la sécurité et la vulnérabilité du stockage central. Il y a même une réponse du responsable technique de la sécurité du navigateur Chrome à propos du premier problème.
    • Stratégie de sécurité des mots de passe insensée de Chrome: essentiellement dans la même ligne. Vous pouvez voler le mot de passe de quelqu'un si vous avez accès au compte de l'ordinateur.
    • Comment voler des mots de passe enregistrés dans Google Chrome en 5 étapes simples: vous apprend à exécuter acte mentionné dans les deux précédents lorsque vous avez accès au compte de quelqu'un d'autre.

    Il y en a beaucoup plus (y compris celui-ci à ce site), principalement le long de la même ligne, points, contre-points, débats énormes. Je m'abstiens de les mentionner ici, faites simplement une recherche si vous voulez les trouver.

    Pour revenir à ma requête initiale, un employé de Google peut-il voir mon mot de passe? Puisque je peux voir le mot de passe en utilisant un simple bouton, ils peuvent être décochés (déchiffrés) même s'ils sont chiffrés. Ceci est très différent des mots de passe enregistrés dans les systèmes d'exploitation de type Unix où le mot de passe enregistré ne peut jamais être vu en texte brut.

    Ils utilisent un algorithme de chiffrement unidirectionnel pour chiffrer vos mots de passe. Ce mot de passe crypté est ensuite stocké dans le fichier passwd ou shadow. Lorsque vous essayez de vous connecter, le mot de passe que vous entrez est à nouveau crypté et comparé à l'entrée du fichier contenant vos mots de passe. S'ils correspondent, il doit s'agir du même mot de passe et vous êtes autorisé à accéder. Ainsi, un superutilisateur peut changer mon mot de passe, peut bloquer mon compte, mais il ne peut jamais voir mon mot de passe.

    Ses préoccupations sont donc fondées ou un peu de discernement dissipera-t-il son inquiétude?

    La réponse

    Le contributeur de SuperUser, Zeel, rassure son esprit:

    Réponse courte: non *

    Les mots de passe stockés sur votre ordinateur local peuvent être déchiffrés par Chrome, à condition que votre compte d'utilisateur OS soit connecté. Vous pouvez ensuite les visualiser en texte brut. Au début, cela semble horrible, mais comment avez-vous pensé que le remplissage automatique fonctionnait? Lorsque ce champ de mot de passe est rempli, Chrome doit insérer le mot de passe réel dans l'élément de formulaire HTML. Sinon, la page ne fonctionnerait pas correctement et vous ne pouviez pas soumettre le formulaire. Et si la connexion au site Web ne se fait pas via HTTPS, le texte en clair est ensuite envoyé par Internet. En d'autres termes, si chrome ne parvient pas à obtenir les mots de passe en texte brut, ils sont totalement inutiles. Un hash à sens unique n'est pas bon, car nous devons les utiliser.

    Maintenant que les mots de passe sont en fait cryptés, le seul moyen de les ramener au texte brut est d’avoir la clé de décryptage. Cette clé est votre mot de passe Google ou une clé secondaire que vous pouvez configurer. Lorsque vous vous connectez à Chrome et synchronisez, les serveurs de Google transmettent le message. crypté mots de passe, paramètres, signets, saisie automatique, etc. sur votre ordinateur local. Ici, Chrome décryptera les informations et pourra les utiliser.

    Du côté de Google, toutes les informations sont stockées dans leur état incrusté et elles ne disposent pas de la clé pour les déchiffrer. Le mot de passe de votre compte est comparé à un hachage pour vous connecter à Google. Même si vous laissez Chrome s'en rappeler, cette version cryptée est masquée dans le même ensemble que les autres mots de passe et est inaccessible. Ainsi, un employé pourrait probablement récupérer une copie des données cryptées, mais cela ne leur serait d'aucune utilité, car ils n'auraient aucun moyen de l'utiliser. *

    Donc, non, les employés de Google ne peuvent pas ** accéder à vos mots de passe, car ceux-ci sont chiffrés sur leurs serveurs..

    * Cependant, n'oubliez pas que tout utilisateur non autorisé peut accéder à tout système. Certains systèmes sont plus faciles à casser que d'autres, mais aucun n'est infaillible… Cela dit, je pense que je ferai confiance à Google et aux millions dépensés en systèmes de sécurité par rapport à toute autre solution de stockage de mots de passe. Et diable, je suis un nerd Wimpy, il serait plus facile de battre les mots de passe de moi que de casser le cryptage de Google.

    ** Je suppose également qu’aucune personne travaillant pour Google ne peut accéder à votre ordinateur local. Dans ce cas, vous êtes foutu en l'air, mais l'emploi chez Google n'est plus un facteur. Moral: Hit Win + L avant de quitter la machine.

    Bien que nous convenions avec zeel qu'il est un pari assez sûr (tant que votre ordinateur n'est pas compromis) que vos mots de passe sont en fait sûrs lorsqu'ils sont stockés dans Chrome, nous préférons chiffrer tous nos noms de connexion et mots de passe dans un coffre-fort LastPass..

    Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.

    Puis-je apporter mon iPhone à un autre opérateur?
    Puis-je contrôler les cycles de charge de mon ordinateur portable pour prolonger la durée de vie de la batterie?
    La poussière peut-elle réellement endommager mon ordinateur?
    Article suivant
    L'humidité élevée peut-elle endommager les appareils électroniques?
    Article précédent
    Les extensions de fichier EXE peuvent-elles toujours être remplacées par COM?