Я использую Chrome (и Chrome Sync) уже много лет. Означает ли это, что Google, владелец Chrome, знает все мои пароли?
Я спрашиваю, потому что я понял, что Google владеет Chrome, а также это браузер с закрытым исходным кодом, что означает, что может быть какой-то бэкдор, который позволяет браузеру собирать мои пароли.
Кроме того, это то же самое с Firefox?
google-chrome
security
passwords
privacy
Селин Пек
источник
источник
Ответы:
Короткий ответ, да. Если синхронизация включена и вы решили сохранить пароль, этот пароль будет отправлен на серверы Google. При этом данные зашифрованы, и доступ к ним ограничен.
По умолчанию Google шифрует ваши синхронизированные данные, используя ваши учетные данные . Google указывает, что эти данные не могут быть расшифрованы без знания вашего пароля, и что на самом деле, когда ваши учетные данные изменяются, все синхронизированные данные должны быть удалены из их систем, а затем могут быть повторно синхронизированы с ваших устройств (и в процессе повторно зашифрованы с вашими новыми учетными данными).
Таким образом, если все работает правильно, самим Google можно доверять, а инфраструктура Google достаточно безопасна, чтобы не пускать заинтересованные третьи стороны (читайте АНБ, криминальных хакеров и т. Д.), Тогда ваши данные в безопасности. Тем не менее, у Google все еще есть возможность расшифровать ваши данные, хотя они не сообщают об этом. Это просто результат их участия в создании ключа шифрования (ваших учетных данных), что дает им возможность сохранять и потенциально злоупотреблять ключами.
Этот уровень доверия больше, чем я хотел бы им вложить, поэтому в этой ситуации я бы предпочел не сохранять пароли или синхронизировать данные с их службами, но это только мои предпочтения. Только дурак доверяет всем, но только больший дурак никому не доверяет.
источник
Это зависит от ваших настроек шифрования .
Благодаря этой опции Google получает доступ к вашим данным.
С этой опцией у Google нет доступа к вашим данным, если они честно говорят о том, что происходит с вашей парольной фразой (что произойдет, если вы забудете свою парольную фразу, дайте понять, что не храните ее в вашу пользу), не имеете какая-то зияющая дыра (или бэкдор) в их безопасности синхронизации, и ваша фраза-пароль достаточно безопасна, чтобы противостоять попытке грубого взлома Google (такой пароль возможен, но очень нетипичен).
Вы можете уменьшить возможность перехвата ваших паролей Google, используя автономный менеджер паролей, такой как KeePass, в сочетании с Chrome в качестве браузера. Вы можете полностью отказаться от этой возможности, больше не используя продукты Google (что, если они действительно связали кейлоггер с Google Drive или Chrome? А с Gmail запросы на сброс пароля могут быть перехвачены так или иначе, что может привести к тому, что Google получит доступ к вашим аккаунтам, даже если ваши пароли не взломать).
С Firefox безопасность ваших данных зависит от того, насколько безопасен пароль вашей учетной записи Firefox. Если вы выберете надежный пароль, Mozilla или кто-либо другой не сможет получить доступ к вашим паролям. Тем не менее, это делает предположение, что Mozilla честно говорит о том, как работает система, и в их безопасности нет дыры (или бэкдора). Вы можете добавить дополнительную меру безопасности, запустив собственный частный сервер синхронизации вместо использования Mozilla. Поскольку Firefox имеет открытый исходный код, а у Mozilla более высокий уровень конфиденциальности, чем у Google , вероятность того, что они попытаются скомпрометировать ваши данные, кажется намного ниже.
Выберите свой уровень паранойи, как вам нравится, и исходя из ваших потребностей. Я бы не стал использовать Google для нужд уровня Snowden, но для обычных нужд конфиденциальности я бы использовал как минимум парольную фразу в Google Sync (чтобы у злоумышленника, обращающегося к вашей учетной записи Google, был еще один уровень, через который он должен пройти, прежде чем он есть ваши пароли).
Кроме того, обратите внимание, что все это выходит за рамки, если кому-то удастся установить кейлоггер (может быть дополнен скребком экрана и регистратором щелчков мыши для борьбы с экранными клавиатурами) на вашем ПК.
источник
Ваша паранойя вполне оправдана. Да, Google может получить доступ к вашим паролям. Это даже верно, если вы определили пользовательскую фразу-пароль, если она не является действительно случайной, а не типичным выбранным человеком паролем. Причина в том, что подход, используемый Chrome для преобразования этой ключевой фразы в ключ шифрования (PBKDF2-HMAC-SHA1 будет 1003 итерации), до смешного прост. Это не требует ресурсов Google, любой, кто хочет инвестировать менее 1000 долларов в видеокарту, может угадать большинство паролей в течение нескольких дней. Текущая реализация даже не может установить переменную соль, что позволяет угадывать пароли для всех учетных записей параллельно.
Текущая реализация Firefox Sync значительно лучше. Любой, кто просто получит доступ к данным на сервере, не сможет ничего с этим поделать, защита нормальная. Однако клиентский компонент этой защиты в настоящее время неоптимален (PBKDF2-HMAC-SHA256 с 1000 итерациями), поэтому любой, кто сможет перехватить хэш пароля при его отправке на сервер, сможет угадать ваш пароль с помощью сравнительно мало усилий
Дополнительная информация:
источник