He estado usando Chrome (y Chrome Sync) durante muchos años. ¿Eso significa que Google, el propietario de Chrome, conoce todas mis contraseñas?
Pregunto porque me di cuenta de que Google posee Chrome, y también, es un navegador de código cerrado, lo que significa que podría haber algún tipo de puerta trasera que permita al navegador recopilar mis contraseñas.
Además, ¿es el mismo caso con Firefox?
google-chrome
security
passwords
privacy
Selin Peck
fuente
fuente
Respuestas:
Respuesta corta, si. Si la sincronización está habilitada y opta por guardar una contraseña, esa contraseña se enviará a los servidores de Google. Dicho esto, los datos están encriptados y el acceso a ellos es limitado.
De forma predeterminada, Google cifra sus datos sincronizados utilizando las credenciales de su cuenta . Google indica que estos datos no se pueden descifrar sin el conocimiento de su contraseña y que, de hecho, cuando cambian sus credenciales, todos los datos sincronizados deben eliminarse de sus sistemas y luego pueden volver a sincronizarse desde sus dispositivos (y en el proceso es reencriptado con sus nuevas credenciales).
Entonces, si todo funciona correctamente, se puede confiar en Google, y la infraestructura de Google es lo suficientemente segura como para mantener alejados a terceros interesados (lea NSA, piratas informáticos, etc.), entonces sus datos están seguros. Dicho esto, sin embargo, Google todavía tiene la capacidad de descifrar sus datos, aunque no lo dan a conocer. Esto es simplemente el resultado de ser parte de la creación de la clave de cifrado (sus credenciales), dejándolos en una posición para guardar y potencialmente mal usar las claves.
Este nivel de confianza es más de lo que quisiera depositar en ellos, por lo que en esta situación, elegiría no guardar contraseñas o sincronizar datos con sus servicios, pero esa es solo mi preferencia. Solo un tonto confía en todos, pero solo un tonto más grande no confía en nadie.
fuente
Depende de su configuración de cifrado .
Con esta opción, Google tiene acceso a sus datos.
Con esta opción, Google no tiene acceso a sus datos, suponiendo que sean honestos sobre lo que sucede con su frase de contraseña (lo que sucede si olvida su frase de contraseña deja en claro que no la almacenan para su beneficio), no tiene algún agujero enorme (o puerta trasera) en su seguridad de sincronización, y su frase de contraseña es lo suficientemente segura como para resistir un intento de fuerza bruta por parte de Google (dicha contraseña es posible, pero muy atípica).
Puede reducir la oportunidad de que Google intercepte sus contraseñas utilizando un administrador de contraseñas sin conexión como KeePass junto con Chrome como su navegador. Puede eliminar la oportunidad por completo si ya no usa los productos de Google (¿y si realmente incluyeran un keylogger con Google Drive o Chrome? Y con Gmail, las solicitudes de restablecimiento de contraseña podrían ser interceptadas de una forma u otra, lo que podría resultar en que Google acceda a sus cuentas, incluso si tus contraseñas son indescifrables).
Con Firefox, la seguridad de sus datos depende de cuán segura sea la contraseña de su cuenta de Firefox. Si elige una buena contraseña, debería ser imposible para Mozilla o cualquier persona acceder a sus contraseñas. Sin embargo, esto supone que Mozilla está siendo honesto acerca de cómo funciona el sistema, y que no hay un vacío (o puerta trasera) en su seguridad. Puede agregar una medida de seguridad adicional ejecutando su propio servidor privado de sincronización en lugar de usar el de Mozilla. Dado que Firefox es de código abierto y Mozilla tiene un mejor historial de privacidad que Google , la probabilidad de que intenten comprometer sus datos parece mucho menor.
Elija su nivel de paranoia como desee y según sus necesidades. No usaría nada de Google para las necesidades de nivel de Snowden, pero para las necesidades de privacidad ordinarias, iría con una frase de contraseña en Google Sync como mínimo (para que un atacante que acceda a su cuenta de Google tenga otra capa para pasar antes de que él tiene tus contraseñas).
Además, tenga en cuenta que todo esto desaparece si alguien logra instalar un keylogger (tal vez complementado por un raspador de pantalla y un registrador de clic del mouse para combatir los teclados en pantalla) en su PC.
fuente
Tu paranoia está bien justificada. Sí, Google puede acceder a sus contraseñas. Eso es incluso cierto si definió una frase de contraseña personalizada, a menos que esa frase de contraseña sea verdaderamente aleatoria en lugar de ser una contraseña típica elegida por humanos. La razón es que el enfoque utilizado por Chrome para convertir esa frase de contraseña en una clave de cifrado (PBKDF2-HMAC-SHA1 tendrá 1003 iteraciones) es ridículamente simple de fuerza bruta. No requiere los recursos de Google, cualquiera que esté dispuesto a invertir menos de $ 1000 en una tarjeta gráfica puede adivinar la mayoría de las contraseñas en unos pocos días. La implementación actual incluso falla al establecer una sal variable, lo que permite adivinar frases de contraseña para todas las cuentas en paralelo.
La implementación actual de Firefox Sync es considerablemente mejor. Cualquiera que simplemente acceda a datos en el servidor no podrá hacer mucho con él, la protección es sensata. Sin embargo, el componente del lado del cliente de esa protección es actualmente subóptimo (PBKDF2-HMAC-SHA256 con 1000 iteraciones), por lo que cualquiera que pueda interceptar el hash de la contraseña mientras se envía al servidor podrá adivinar su contraseña de manera comparable pequeño esfuerzo.
Información Adicional:
fuente