¿Pueden los empleados de Google ver mis contraseñas guardadas en Google Chrome?

Entiendo que estamos realmente tentados a guardar nuestras contraseñas en Google Chrome. El beneficio probable es doble.

• No necesita (memorizar y) ingresar esas contraseñas largas y crípticas.
• Estos están disponibles donde quiera que esté una vez que inicie sesión en su cuenta de Google.

El último punto despertó mi duda. Dado que la contraseña está disponible en cualquier lugar , el almacenamiento debe estar en una ubicación central, y esto debe estar en Google.

Ahora, mi simple pregunta es, ¿puede un empleado de Google ver mis contraseñas?

Las búsquedas en Internet revelaron varios artículos / mensajes.

• ¿Guarda contraseñas en Chrome? Tal vez debería reconsiderarlo : habla sobre el robo de sus contraseñas por parte de alguien que tiene acceso a su cuenta de computadora. Nada se menciona sobre la seguridad y vulnerabilidad del almacenamiento central. Incluso hay una respuesta del líder de tecnología de seguridad del navegador Chrome sobre el primer problema.
• La estrategia de seguridad de contraseñas de Chrome : principalmente en la misma línea. Puede robar la contraseña de alguien si tiene acceso a la cuenta de la computadora.
• Cómo robar contraseñas guardadas en Google Chrome en 5 simples pasos : te enseña cómo realizar el acto mencionado en los dos anteriores cuando tienes acceso a la cuenta de otra persona.

Hay muchos más (incluido este en este sitio ), principalmente en la misma línea, puntos, contrapuntos, grandes debates. Me abstengo de mencionarlos aquí, simplemente realice una búsqueda si desea encontrarlos.

Volviendo a mi consulta original, ¿puede un empleado de Google ver mi contraseña? Como puedo ver la contraseña con un simple botón, definitivamente pueden ser desenvasadas (descifradas) incluso si están encriptadas. Esto es muy diferente de las contraseñas guardadas en sistemas operativos tipo Unix donde la contraseña guardada nunca se puede ver en texto plano.

Utilizan un algoritmo de cifrado unidireccional para cifrar sus contraseñas. Esta contraseña encriptada se almacena en el archivo passwd o shadow. Cuando intenta iniciar sesión, la contraseña que ingresa se cifra nuevamente y se compara con la entrada en el archivo que almacena sus contraseñas. Si coinciden, debe ser la misma contraseña y se le permite el acceso. Por lo tanto, un superusuario puede cambiar mi contraseña, puede bloquear mi cuenta, pero nunca puede ver mi contraseña.

Respuesta corta: no ^*

Chrome puede descifrar las contraseñas almacenadas en su máquina local, siempre que su cuenta de usuario del sistema operativo esté conectada. Y luego puede verlas en texto sin formato. Al principio esto parece horrible, pero ¿cómo crees que funcionó el autocompletado? Cuando se completa ese campo de contraseña, Chrome debe insertar la contraseña real en el elemento del formulario HTML; de lo contrario, la página no funcionaría correctamente y no podría enviar el formulario. Y si la conexión al sitio web no se realiza a través de HTTPS, el texto sin formato se envía a través de Internet. En otras palabras, si Chrome no puede obtener las contraseñas de texto sin formato, entonces son totalmente inútiles. Un hash unidireccional no es bueno, porque necesitamos usarlos.

Ahora, las contraseñas están encriptadas, la única forma de recuperarlas en texto plano es tener la clave de descifrado. Esa clave es su contraseña de Google, o una clave secundaria que puede configurar. Cuando inicie sesión en Chrome y sincronice, los servidores de Google transmitirán las contraseñas cifradas , la configuración, los marcadores, el autocompletado, etc., a su máquina local. Aquí Chrome descifrará la información y podrá usarla.

Al final de Google, toda esa información se almacena en su estado cifrado, y no tienen la clave para descifrarla. La contraseña de su cuenta se compara con un hash para iniciar sesión en Google, e incluso si deja que Chrome lo recuerde, esa versión encriptada está oculta en el mismo paquete que las otras contraseñas, imposible de acceder. Por lo tanto, un empleado probablemente podría obtener un volcado de los datos cifrados, pero no les serviría de nada, ya que no tendrían forma de usarlos. ^{* *}

Entonces, no, los empleados de Google no pueden ^** acceder a sus contraseñas, ya que están encriptadas en sus servidores.

^{* Sin embargo, no olvide que cualquier sistema al que pueda acceder un usuario autorizado puede acceder un usuario no autorizado. Algunos sistemas son más fáciles de romper que otros, pero ninguno es a prueba de fallas. . . Dicho esto, creo que confiaré en Google y en los millones que gastan en sistemas de seguridad, sobre cualquier otra solución de almacenamiento de contraseñas. Y diablos, soy un empollón endeble, sería más fácil de vencer a las contraseñas de mí que el cifrado de la ruptura de Google.}

^{** También supongo que no hay una persona que simplemente trabaje para que Google obtenga acceso a su máquina local. En ese caso, estás jodido, pero el empleo en Google ya no es un factor. Moraleja: Hit Win+ Lantes de salir de la máquina.}

En realidad, es bastante trivial recuperar sus contraseñas de la mayoría de los navegadores. El artículo de seguridad de contraseña loco fue escrito por alguien que usa principalmente Safari, y parece pensar que TIENE que ser la forma correcta. Esta es la seguridad a nivel de usuario por oscuridad. La persona que planteó la cuestión es un desarrollador que hace principalmente iOS, OS X y desarrollo web, no desarrollo de la seguridad, y es posible que desee leer counterarguement de Google también

En Windows, esta herramienta de Nirsoft me permite manipular todas sus contraseñas desde múltiples navegadores. Si alguien tiene acceso físico a su sistema, es demasiado tarde.

Y no, es poco probable que Google permita a sus empleados ver sus contraseñas, la parte de sincronización real del navegador está encriptada, ya sea utilizando sus credenciales de inicio de sesión o su propia frase de contraseña. Google como tal no tiene una copia sin cifrar de su contraseña. Es una buena práctica, ya que evita la filtración de dichas contraseñas, la tentación de hacer un poco de amor y de los gobiernos para exigir que Google entregue las contraseñas. No puedes criticar lo que no sabes.

Si está realmente preocupado, simplemente use un administrador de contraseñas de terceros y sincronícelo de la forma en que confíe, o use un navegador web menos común (que estas herramientas no admiten) con una contraseña maestra. No obstante, el argumento de que el almacenamiento de contraseñas de texto sin formato no es muy útil en el día en que está disponible el descifrado de contraseñas acelerado por GPU .

Teóricamente no. Consulte https://support.google.com/chrome/answer/1181035 para obtener más detalles, pero básicamente sus datos sincronizados (contraseñas, marcadores, historial, etc.) se cifran antes de enviarlos a los servidores de Google. El cifrado utiliza la contraseña de su cuenta de Google o una contraseña separada que elija solo con el fin de sincronizar. Para mantener las cosas sincronizadas sin tener que escribir esa contraseña todo el tiempo, la contraseña de sincronización debe almacenarse en su computadora local.

Para que un empleado de Google vea sus contraseñas (suponiendo que no tengan acceso a su máquina local), tendrían que conocer la contraseña de la cuenta de Google o su contraseña de sincronización. Supongo que la contraseña de la cuenta de Google se almacena en algún tipo de forma hash de su lado, para que no les permita descifrar fácilmente sus datos sincronizados.

Para ser claros, hay dos problemas distintos de almacenamiento de contraseña cuando se trata de Chrome. Una es cómo las contraseñas se almacenan localmente, y sus diversos enlaces hablan sobre cómo esas contraseñas se pueden ver fácilmente si alguien puede acceder a su cuenta local . El otro problema es lo que he discutido anteriormente, es decir, cómo se envían las contraseñas a los servidores de Google, para que puedan estar disponibles en múltiples instalaciones de Chrome.