Я использую Chrome и Chrome Sync; у Google есть доступ к моим паролям?

33

Я использую Chrome (и Chrome Sync) уже много лет. Означает ли это, что Google, владелец Chrome, знает все мои пароли?

Я спрашиваю, потому что я понял, что Google владеет Chrome, а также это браузер с закрытым исходным кодом, что означает, что может быть какой-то бэкдор, который позволяет браузеру собирать мои пароли.

Кроме того, это то же самое с Firefox?

Селин Пек
источник
Вы не указали, заходите ли вы в свой браузер или нет. Если вы не входите в Chrome, любые настройки, пароли и т. Д. Сохраняются только локально, а не в облаке.
Эрни
5
@ernie он использует Sync, так что это не все локально
Тим С.
4
Google знает все. Если Google не может найти что-то, то этого не существует ..;)
Sp0T

Ответы:

42

Короткий ответ, да. Если синхронизация включена и вы решили сохранить пароль, этот пароль будет отправлен на серверы Google. При этом данные зашифрованы, и доступ к ним ограничен.

По умолчанию Google шифрует ваши синхронизированные данные, используя ваши учетные данные . Google указывает, что эти данные не могут быть расшифрованы без знания вашего пароля, и что на самом деле, когда ваши учетные данные изменяются, все синхронизированные данные должны быть удалены из их систем, а затем могут быть повторно синхронизированы с ваших устройств (и в процессе повторно зашифрованы с вашими новыми учетными данными).

Таким образом, если все работает правильно, самим Google можно доверять, а инфраструктура Google достаточно безопасна, чтобы не пускать заинтересованные третьи стороны (читайте АНБ, криминальных хакеров и т. Д.), Тогда ваши данные в безопасности. Тем не менее, у Google все еще есть возможность расшифровать ваши данные, хотя они не сообщают об этом. Это просто результат их участия в создании ключа шифрования (ваших учетных данных), что дает им возможность сохранять и потенциально злоупотреблять ключами.

Этот уровень доверия больше, чем я хотел бы им вложить, поэтому в этой ситуации я бы предпочел не сохранять пароли или синхронизировать данные с их службами, но это только мои предпочтения. Только дурак доверяет всем, но только больший дурак никому не доверяет.

Фрэнк Томас
источник
11
Стоит отметить, что на связанной странице написано: «В качестве альтернативы вы можете выбрать шифрование всех синхронизированных данных с помощью ключевой фразы синхронизации. Эта ключевая фраза синхронизации хранится на вашем компьютере и не отправляется в Google».
and31415
2
@FrankThomas: я не понимаю. Вы можете выбрать собственную фразу-пароль при синхронизации данных. Это означает, что Google не знает парольную фразу и, следовательно, не может расшифровать данные ... не так ли?
Мердад
4
Использование Google Chrome для любых данных, которые могут заинтересовать АНБ, является ужасной ошибкой.
ДжонатанРиз поддерживает Монику
5
Да, если вы шифруете все данные, которые вы синхронизируете, Google заявляет, что операция происходит полностью на стороне клиента, и в этом случае они не смогут легко определить ключ. Это делает его более безопасным, но не безопасным, по сути. Мы понятия не имеем, какой шифр используется, поддерживает ли он хэш пароля, является ли ваш ключ единственным и т. Д. Законодательство США на самом деле не разрешает службе хранить зашифрованные данные, к которым они сами не могут получить доступ в ответ. законный запрос на перехват.
Фрэнк Томас
1
@FrankThomas, что это за закон? Я считал, что правило заключается в том, что если у меня есть техническая возможность доступа к их тексту, то я должен соблюдать его, но хранение зашифрованных больших двоичных объектов, которые я не могу расшифровать, никоим образом не является незаконным.
тридцать три
22

Это зависит от ваших настроек шифрования .

  • Шифровать синхронизированные пароли с вашими учетными данными Google: это опция по умолчанию. Ваши сохраненные пароли зашифрованы на серверах Google и защищены вашими учетными данными Google.

Благодаря этой опции Google получает доступ к вашим данным.

  • Зашифровать все синхронизированные данные с помощью своей собственной фразы-пароля для синхронизации: выберите эту опцию, если вы хотите зашифровать все данные, которые вы выбрали для синхронизации. Вы можете предоставить свою собственную фразу-пароль, которая будет храниться только на вашем компьютере.

С этой опцией у Google нет доступа к вашим данным, если они честно говорят о том, что происходит с вашей парольной фразой (что произойдет, если вы забудете свою парольную фразу, дайте понять, что не храните ее в вашу пользу), не имеете какая-то зияющая дыра (или бэкдор) в их безопасности синхронизации, и ваша фраза-пароль достаточно безопасна, чтобы противостоять попытке грубого взлома Google (такой пароль возможен, но очень нетипичен).

Вы можете уменьшить возможность перехвата ваших паролей Google, используя автономный менеджер паролей, такой как KeePass, в сочетании с Chrome в качестве браузера. Вы можете полностью отказаться от этой возможности, больше не используя продукты Google (что, если они действительно связали кейлоггер с Google Drive или Chrome? А с Gmail запросы на сброс пароля могут быть перехвачены так или иначе, что может привести к тому, что Google получит доступ к вашим аккаунтам, даже если ваши пароли не взломать).

С Firefox безопасность ваших данных зависит от того, насколько безопасен пароль вашей учетной записи Firefox. Если вы выберете надежный пароль, Mozilla или кто-либо другой не сможет получить доступ к вашим паролям. Тем не менее, это делает предположение, что Mozilla честно говорит о том, как работает система, и в их безопасности нет дыры (или бэкдора). Вы можете добавить дополнительную меру безопасности, запустив собственный частный сервер синхронизации вместо использования Mozilla. Поскольку Firefox имеет открытый исходный код, а у Mozilla более высокий уровень конфиденциальности, чем у Google , вероятность того, что они попытаются скомпрометировать ваши данные, кажется намного ниже.

Выберите свой уровень паранойи, как вам нравится, и исходя из ваших потребностей. Я бы не стал использовать Google для нужд уровня Snowden, но для обычных нужд конфиденциальности я бы использовал как минимум парольную фразу в Google Sync (чтобы у злоумышленника, обращающегося к вашей учетной записи Google, был еще один уровень, через который он должен пройти, прежде чем он есть ваши пароли).

Кроме того, обратите внимание, что все это выходит за рамки, если кому-то удастся установить кейлоггер (может быть дополнен скребком экрана и регистратором щелчков мыши для борьбы с экранными клавиатурами) на вашем ПК.

Тим С.
источник
1

Ваша паранойя вполне оправдана. Да, Google может получить доступ к вашим паролям. Это даже верно, если вы определили пользовательскую фразу-пароль, если она не является действительно случайной, а не типичным выбранным человеком паролем. Причина в том, что подход, используемый Chrome для преобразования этой ключевой фразы в ключ шифрования (PBKDF2-HMAC-SHA1 будет 1003 итерации), до смешного прост. Это не требует ресурсов Google, любой, кто хочет инвестировать менее 1000 долларов в видеокарту, может угадать большинство паролей в течение нескольких дней. Текущая реализация даже не может установить переменную соль, что позволяет угадывать пароли для всех учетных записей параллельно.

Текущая реализация Firefox Sync значительно лучше. Любой, кто просто получит доступ к данным на сервере, не сможет ничего с этим поделать, защита нормальная. Однако клиентский компонент этой защиты в настоящее время неоптимален (PBKDF2-HMAC-SHA256 с 1000 итерациями), поэтому любой, кто сможет перехватить хэш пароля при его отправке на сервер, сможет угадать ваш пароль с помощью сравнительно мало усилий

Дополнительная информация:

Владимир Палант
источник