Les employés de Google peuvent-ils voir mes mots de passe enregistrés dans Google Chrome?

Je comprends que nous sommes vraiment tentés de sauvegarder nos mots de passe dans Google Chrome. L'avantage probable est deux fois,

Vous n'avez pas besoin de (mémoriser et) saisir ces mots de passe longs et cryptés.
Celles-ci sont disponibles où que vous soyez une fois que vous vous êtes connecté à votre compte Google.

Le dernier point a suscité mon doute. Étant donné que le mot de passe est disponible n'importe où , le stockage doit se trouver dans un emplacement central, ce qui devrait être chez Google.

Ma question simple est la suivante: un employé de Google peut-il voir mes mots de passe?

La recherche sur Internet a révélé plusieurs articles / messages.

Enregistrez-vous les mots de passe dans Chrome? Peut-être devriez-vous reconsidérer : Parlez du vol de vos mots de passe par une personne ayant accès à votre compte d'ordinateur. Rien n'est mentionné sur la sécurité et la vulnérabilité du stockage central. Le responsable technique de la sécurité du navigateur Chrome a même répondu au premier problème.
Stratégie de sécurité des mots de passe insensée de Chrome : La plupart du temps dans la même ligne. Vous pouvez voler le mot de passe de quelqu'un si vous avez accès au compte de l'ordinateur.
Comment voler les mots de passe enregistrés dans Google Chrome en 5 étapes simples : vous apprend à accomplir réellement l' acte mentionné aux deux précédentes lorsque vous avez accès au compte de quelqu'un d'autre.

Il y en a beaucoup plus (y compris celui-ci sur ce site ), principalement sur la même ligne, des points, des contre-points, des débats énormes. Je m'abstiens de les mentionner ici, effectuez simplement une recherche si vous voulez les trouver.

Pour revenir à ma requête initiale, un employé de Google peut-il voir mon mot de passe? Depuis que je peux voir le mot de passe en utilisant un simple bouton, ils peuvent certainement être décochés (déchiffrés) même s'ils sont chiffrés. Ceci est très différent des mots de passe enregistrés dans les systèmes d'exploitation de type Unix où le mot de passe enregistré ne peut jamais être vu en texte brut.

Ils utilisent un algorithme de chiffrement unidirectionnel pour chiffrer vos mots de passe. Ce mot de passe crypté est ensuite stocké dans le fichier passwd ou shadow. Lorsque vous essayez de vous connecter, le mot de passe que vous entrez est à nouveau crypté et comparé à l'entrée du fichier contenant vos mots de passe. S'ils correspondent, il doit s'agir du même mot de passe et vous êtes autorisé à y accéder. Ainsi, un superutilisateur peut changer mon mot de passe, bloquer mon compte, mais il ne peut jamais voir mon mot de passe.

— Masroor
source

Vous ne pouvez pas ““ déchaîner ”” une chaîne. Les fonctions de hachage cryptographique sont à sens unique: elles sont conçues pour être infaisables (c’est-à-dire qu’il faut si longtemps pour le faire au moment où vous le faites, il n’y aura plus d’importance) pour inverser. Le “nix“ “algorithme de chiffrement unidirectionnel” ”est une fonction de hachage.

— Blacklight Shining

Merci, je me suis en quelque sorte emporté. Je voulais dire déchiffrer.

— Masroor

Tant que ces mots de passe ne sont pas utilisés pour le WiFi sur Android aussi, vous devriez être sauvegardé. Je dois dire ceci, car Google sait que vos passes WiFi sont utilisés sur Android.

— maths

@math Voulez-vous élaborer un peu? D'une certaine manière échoué à comprendre pleinement.

— Masroor

Il existe de nombreux sites d’information traitant de ce sujet. Il suffit d’utiliser un moteur de recherche avec les mots: "mots de passe Wifi google android". Par exemple, gizmodo.com/…

— maths

Réponses:

Réponse courte: non ^*

Les mots de passe stockés sur votre ordinateur local peuvent être déchiffrés par Chrome, à condition que votre compte d'utilisateur du système d'exploitation soit connecté. Vous pouvez ensuite les visualiser en texte brut. Au début, cela semble horrible, mais comment avez-vous pensé que le remplissage automatique fonctionnait? Lorsque ce champ de mot de passe est rempli, Chrome doit insérer le mot de passe réel dans l'élément de formulaire HTML. Dans le cas contraire, la page ne fonctionnerait pas correctement et vous ne pouviez pas soumettre le formulaire. Et si la connexion au site Web ne se fait pas via HTTPS, le texte brut est alors envoyé par Internet. En d'autres termes, si chrome ne peut pas obtenir les mots de passe en texte brut, ils sont totalement inutiles. Un hash à sens unique n'est pas bon, car nous devons les utiliser.

Maintenant que les mots de passe sont en fait cryptés, le seul moyen de les ramener au texte brut est d’avoir la clé de décryptage. Cette clé est votre mot de passe Google ou une clé secondaire que vous pouvez configurer. Lorsque vous vous connectez à Chrome et synchronisez, les serveurs de Google transmettent les mots de passe cryptés , les paramètres, les signets, le remplissage automatique, etc. à votre ordinateur local. Ici, Chrome décryptera les informations et pourra les utiliser.

Du côté de Google, toutes les informations sont stockées dans leur état d’enregistrement, et ils n’ont pas la clé pour les déchiffrer. Le mot de passe de votre compte est comparé à un hachage pour vous connecter à Google. Même si vous laissez Chrome s'en rappeler, cette version cryptée est masquée dans le même ensemble que les autres mots de passe et est inaccessible. Ainsi, un employé pourrait probablement récupérer une copie des données cryptées, mais cela ne leur serait d'aucune utilité, car ils n'auraient aucun moyen de l'utiliser. ^*

Donc, non, les employés de Google ne peuvent pas ^** accéder à vos mots de passe, car ceux-ci sont cryptés sur leurs serveurs.

^{* Cependant, n'oubliez pas que tout système auquel un utilisateur autorisé peut accéder peut être utilisé par un utilisateur non autorisé. Certains systèmes sont plus faciles à détruire que d'autres, mais aucun n'est infaillible. . . Cela étant dit, je pense que je ferai confiance à Google et aux millions dépensés en systèmes de sécurité par rapport à toute autre solution de stockage de mots de passe. Et diable, je suis un geek Wimpy, il serait plus facile de battre mes mots de passe que de casser le cryptage de Google.}

^{** Je suppose également qu’aucune personne travaillant pour Google ne peut accéder à votre ordinateur local. Dans ce cas, vous êtes foutu en l'air, mais l'emploi chez Google n'est plus un facteur. Morale: Hit Win+ Lavant de quitter la machine.}

— zeel
source

Win + L ne fonctionne pas pour moi puisque je suis un utilisateur Linux. Mais merci, j'ai l'habitude de ne jamais verrouiller ma machine en partant.

— Masroor

Eh bien, c'est le sentiment qui est important. Et pour les utilisateurs autres que Windows, je suis sûr qu'il existe un moyen simple de créer un raccourci clavier de verrouillage.

— Zeel

La plupart des linux utilisent Ctl-Alt-L pour verrouiller la machine. J'ai même déjà utilisé un utilitaire verrouillé à l'aide du Bluetooth pour détecter la présence / l'absence de mon téléphone.

— Drake Clarris

Si mon mot de passe Google est la clé utilisée pour déchiffrer les autres mots de passe que Google enregistre pour moi, Google ne devrait-il pas lui demander son mot de passe Google chaque fois qu'il souhaite saisir automatiquement l'un de mes autres mots de passe? Comme ils ne le font pas, cela me fait penser que mon mot de passe Google n'est pas la clé, puisque Google ne stocke pas mon mot de passe Google actuel où que ce soit. Alors, quelle est la clé?

— Chris Morris

Votre instance locale de Chrome conserve une copie de tous les mots de passe. Je ne suis pas un expert sur le fonctionnement exact de ce système, qui pourrait changer considérablement au fil du temps. Autant que je sache, votre mot de passe Google (ou une autre clé, le cas échéant) doit être utilisé pour déchiffrer vos données lors de la première initialisation d'une installation de Chrome. Je suppose que votre ordinateur stocke le mot de passe ou la clé pour une utilisation ultérieure. Vous n'avez donc pas besoin de le saisir à nouveau, mais il n'est pas stocké sur le serveur de Google.

— Zeel

En fait, il est assez simple de récupérer vos mots de passe dans la plupart des navigateurs. Cet article sur la sécurité des mots de passe insensés a été écrit par une personne qui utilise principalement Safari et semble penser que cela DOIT être le bon moyen. C'est la sécurité au niveau de l'utilisateur par obscurité. La personne qui a soulevé la question est un développeur qui fait principalement iOS, OS X et développement web, pas le développement de la sécurité, et vous pouvez lire la counterarguement de Google aussi

Sous Windows, cet outil de Nirsoft me permet facilement de collecter tous vos mots de passe à partir de plusieurs navigateurs. Si quelqu'un a un accès physique à votre système, il est trop tard.

Et non, il est peu probable que Google permette à ses employés de voir vos mots de passe - la partie de la synchronisation du navigateur est cryptée - à l'aide de vos informations de connexion ou de votre propre phrase secrète. Google en tant que tel ne dispose pas d'une copie non chiffrée de votre mot de passe. C'est une bonne pratique, car cela évite les fuites de ces mots de passe, la tentation de faire un peu d' amour , et les gouvernements à exiger que Google leur donne des mots de passe. Vous ne pouvez pas raconter ce que vous ne savez pas.

Si vous êtes vraiment inquiet, utilisez simplement un gestionnaire de mot de passe tiers et synchronisez-le comme vous le souhaitez, ou utilisez un navigateur Web moins commun (que ces outils ne prennent pas en charge) avec un mot de passe principal. Néanmoins, l'argument selon lequel le stockage de mots de passe en texte brut n'est pas très utile le jour où la fissuration par mot de passe accélérée par GPU est disponible.

— Compagnon Geek
source

Théoriquement pas. Pour plus d'informations, consultez la page https://support.google.com/chrome/answer/1181035. Toutefois, vos données synchronisées (mots de passe, favoris, historique, etc.) sont cryptées avant leur envoi aux serveurs de Google. Le cryptage utilise soit le mot de passe de votre compte Google, soit un mot de passe distinct, choisi uniquement pour la synchronisation. Afin de garder les éléments synchronisés sans avoir à saisir ce mot de passe à tout moment, le mot de passe de synchronisation doit être stocké sur votre ordinateur local.

Pour qu'un employé de Google puisse voir vos mots de passe (en supposant qu'ils n'aient pas accès à votre ordinateur local), ils doivent connaître le mot de passe du compte Google ou votre mot de passe de synchronisation. Je suppose que le mot de passe du compte Google est stocké sous une forme hachée de leur côté, ce qui les empêche de déchiffrer facilement vos données synchronisées.

Soyons clairs: il existe deux problèmes de stockage de mots de passe distincts en ce qui concerne Chrome. La première concerne la façon dont les mots de passe sont stockés localement, et vos différents liens expliquent comment ces mots de passe peuvent facilement être visualisés si quelqu'un peut accéder à votre compte local . L'autre problème concerne ce que j'ai expliqué ci-dessus, à savoir comment les mots de passe sont envoyés aux serveurs de Google, de sorte qu'ils puissent être disponibles sur plusieurs installations de Chrome.

— jjlin
source

Pour ajouter à la réponse de jjlin: cela ne signifie pas un accès physique , cela signifie simplement un accès d'une manière qui permet à une personne d'accéder à un fichier sur votre ordinateur (tel qu'un virus)

— Jon