Google社員はGoogle Chromeに保存された自分のパスワードを見ることができますか？

Question

パスワードをGoogle Chromeに保存したくて仕方がないことを理解しています。考えられる利点は2つあります。

長くて暗号化されたパスワードを（記憶して）入力する必要はありません。
これらは、Googleアカウントにログインするとどこからでも利用できます。

最後の点は私の疑問を引き起こしました。パスワードはanywhereで利用できるため、ストレージは中央の場所にある必要があり、これはGoogleにある必要があります。

さて、私の簡単な質問は、Googleの従業員が私のパスワードを見ることはできますか？

インターネットで検索すると、いくつかの記事/メッセージが見つかりました。

パスワードをChromeに保存しますか？おそらく再考する必要があります：コンピューターアカウントにアクセスできるユーザーによってパスワードが盗まれたという話です。中央ストレージのセキュリティと脆弱性については何も言及されていません。最初の問題について、Chrome=ブラウザのセキュリティ技術リーダーからの返信さえあります。
Chromeの非常識なパスワードセキュリティ戦略：ほとんど同じ行に沿っています。コンピュータアカウントにアクセスできる場合、誰かからパスワードを盗むことができます。
Googleに保存されたパスワードを盗む方法Chrome 5つの簡単なステップ：行為を実際に実行する方法を教えます他の誰かのアカウントにアクセスできる場合は、前の2つで述べました。

さらに多くの（ this one を含むthis siteを含む）、ほとんど同じ線に沿って、ポイント、カウンターポイント、巨大な議論。ここでは言及しないでください。見つけたい場合は検索してください。

元のクエリに戻ると、Googleの従業員は私のパスワードを見ることができますか？簡単なボタンでパスワードを確認できるので、暗号化してもハッシュ化解除（復号化）できます。これは、保存されたパスワードをプレーンテキストで見ることができないUnixライクなOSに保存されたパスワードとは大きく異なります。

一方向の暗号化アルゴリズムを使用パスワードを暗号化します。この暗号化されたパスワードは、passwdまたはshadowファイルに保存されます。ログインしようとすると、入力したパスワードが再度暗号化され、パスワードを保存するファイルのエントリと比較されます。それらが一致する場合、それは同じパスワードでなければならず、アクセスが許可されます。したがって、スーパーユーザーは私のパスワードを変更したり、私のアカウントをブロックしたりできますが、彼は私のパスワードを見ることはできません。

zeel · Accepted Answer

短い答え：いいえ^*

OSのユーザーアカウントがログインしている限り、ローカルマシンに保存されているパスワードをChromeで復号化できます。その後、それらをプレーンテキストで表示できます。最初はこれは恐ろしいように見えますが、オートフィルはどのように機能したと思いますか？そのパスワードフィールドに入力すると、Chromeが実際のパスワードをHTMLフォーム要素に挿入する必要があります。そうしないと、ページが正しく機能せず、フォームを送信できません。また、Webサイトへの接続がHTTPS経由でない場合、プレーンテキストはインターネット経由で送信されます。つまり、chromeがプレーンテキストのパスワードを取得できない場合、それらはまったく役に立ちません。一方向ハッシュは使用する必要があるため、良くありません。

現在、パスワードは実際には暗号化されています。パスワードをプレーンテキストに戻す唯一の方法は、復号化キーを取得することです。そのキーは、Googleのパスワード、または設定できる2番目のキーです。 Chromeにログインして同期すると、Googleサーバーはencryptedパスワード、設定、ブックマーク、自動入力などをローカルマシンに送信します。ここでChromeは情報を復号化して使用できるようになります。

Googleの側では、すべての情報は暗号化された状態で保存されており、暗号化を解除するための鍵がありません。アカウントのパスワードはハッシュに照らしてチェックされ、Googleにログインします。chromeにそれを記憶させても、暗号化されたバージョンは他のパスワードと同じバンドルに隠されており、アクセスできません。したがって、従業員はおそらく暗号化されたデータのダンプを取得することができますが、それを使用する方法がないため、それは何の役にも立ちません。^*

いいえ、Googleの従業員はできません^** パスワードはサーバーで暗号化されているため、パスワードにアクセスします。

^{*ただし、許可されたユーザーがアクセスできるシステムは、許可されていないユーザーがアクセスできることを忘れないでください。一部のシステムは他のシステムよりも壊れやすいですが、どれもフェイルプルーフではありません。。。そうは言っても、私は他のどのパスワードストレージソリューションよりも、Googleと彼らがセキュリティシステムに費やす数百万人を信頼すると思います。そして、まあ、私は弱々しいオタクです。Googleの暗号化を解読するよりもbeat私からパスワードを取得する方が簡単でしょう。}

^{**また、たまたまGoogleで働いていて、ローカルマシンにアクセスする人がいないと想定しています。その場合、あなたは頭を悩ませますが、Googleでの雇用は、もはやもはや要因ではありません。モラル：ヒット Win + L マシンを離れる前。}

Journeyman Geek · Answer

実際、ほとんどのブラウザからパスワードを取得するのは簡単です。非常識なパスワードセキュリティの記事は、主にSafariを使用している人によって書かれており、HASが正しい方法であると考えているようです。これは、あいまいさによるユーザーレベルのセキュリティです。問題を提起したのは、セキュリティ開発ではなく、主にiOS、OS X、およびWeb開発を行う開発者であり、あなたはこの記事を読みたくなるかもしれません Googleの反対意見も

Windowsでは、 Nirsoftのこのツールを使用すると、複数のブラウザからすべてのパスワードを簡単に盗み取ることができます。誰かがあなたのシステムに物理的にアクセスできる場合、それは遅すぎます。

そして、いいえ、Googleが従業員にあなたのパスワードを見ることを許可することはありそうもありません-ブラウザの実際の同期部分は、ログイン資格情報またはあなた自身のパスフレーズを使用して暗号化されます。 Google自体には、暗号化されていないパスワードのコピーはありません。上記のパスワードの漏えい、少しの誘惑 loveint を防止し、政府からのGoogleへのパスワードの引き渡しを要求するため、これは良い習慣です。あなたは知らないものを戦うことはできません。

本当に心配な場合は、サードパーティのパスワードマネージャーを使用して信頼できる方法で同期するか、マスターパスワードを使用してあまり一般的ではないWebブラウザー（これらのツールではサポートされていません）を使用してください。それにもかかわらず、プレーンテキストのパスワードストレージは GPU加速パスワードクラッキングが利用可能な日にはあまり有用ではないという主張。

jjlin · Answer

理論的にはそうではありません。詳細については https://support.google.com/chrome/answer/1181035 を参照してください。ただし、同期されたデータ（パスワード、ブックマーク、履歴など）は、送信される前に暗号化されますGoogleのサーバー。暗号化では、Googleアカウントのパスワード、または同期の目的で選択した別のパスワードを使用します。常にそのパスワードを入力する必要なく同期を維持するには、同期パスワードをローカルコンピュータに保存する必要があります。

Googleの従業員がパスワードを確認するには（ローカルマシンにアクセスできない場合）、Googleアカウントのパスワードまたは同期パスワードを知っている必要があります。 Googleアカウントのパスワードは、ハッシュ化された形式で保存されているため、同期されたデータを簡単に復号化できないと思います。

明確にするために、Chromeに関しては、2つの異なるパスワードストレージの問題があります。 1つは、パスワードがローカルに保存される方法であり、さまざまなリンクは、誰かがローカルアカウントにアクセスできる場合にパスワードを簡単に表示する方法について説明しています。もう1つの問題は、上記で説明したことです。つまり、パスワードがGoogleのサーバーに送信され、複数のChromeインストールで使用できるようにするためです。