Menyimpan kata sandi Anda di peramban web Anda tampak seperti penghemat waktu yang hebat, tetapi apakah kata sandi aman dan tidak dapat diakses oleh orang lain (bahkan karyawan perusahaan peramban) ketika disentuh?
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-sub divisi Stack Exchange, pengelompokan situs web Q & A berbasis komunitas.
Pembaca SuperUser MMA ingin tahu apakah karyawan Google memiliki (atau mungkin) memiliki akses ke kata sandi yang disimpannya di Google Chrome:
Saya mengerti bahwa kami benar-benar tergoda untuk menyimpan kata sandi kami di Google Chrome. Manfaatnya adalah dua kali lipat,
- Anda tidak perlu (menghafal dan) memasukkan kata sandi yang panjang dan samar itu.
- Ini tersedia di mana pun Anda berada setelah masuk ke akun Google Anda.
Poin terakhir memicu keraguan saya. Karena kata sandi tersediadi mana saja, penyimpanan harus di beberapa lokasi pusat, dan ini harus di Google.
Sekarang, pertanyaan sederhana saya adalah, bisakah karyawan Google melihat kata sandi saya?
Pencarian melalui Internet mengungkapkan beberapa artikel / pesan.
- Apakah Anda menyimpan kata sandi di Chrome? Mungkin Anda harus mempertimbangkan kembali: Berbicara tentang kata sandi Anda dicuri oleh seseorang yang memiliki akses ke akun komputer Anda. Tidak ada yang menyebutkan tentang keamanan penyimpanan dan kerentanan pusat. Bahkan ada tanggapan dari pimpinan teknologi keamanan browser Chrome tentang masalah pertama.
- Strategi keamanan kata sandi Chrome yang gila: Sebagian besar di sepanjang baris yang sama. Anda dapat mencuri kata sandi dari seseorang jika Anda memiliki akses ke akun komputer.
- Cara Mencuri Kata Sandi Tersimpan di Google Chrome dalam 5 Langkah Sederhana: Mengajarkan Anda bagaimana benar-benar melakukanbertindak disebutkan dalam dua sebelumnya ketika Anda memiliki akses ke akun orang lain.
Masih banyak lagi (termasuk yang ini disitus ini), sebagian besar sepanjang garis, poin, titik balik, debat besar yang sama. Saya menahan diri untuk tidak menyebutkannya di sini, hanya melakukan pencarian jika Anda ingin menemukannya.
Kembali ke pertanyaan awal saya, bisakah karyawan Google melihat kata sandi saya? Karena saya dapat melihat kata sandi menggunakan tombol sederhana, pasti mereka dapat dihilangkan (didekripsi) bahkan jika dienkripsi. Ini sangat berbeda dari kata sandi yang disimpan di OS mirip Unix di mana kata sandi yang disimpan tidak pernah dapat dilihat dalam teks biasa.
Mereka menggunakan algoritma enkripsi satu arah untuk mengenkripsi kata sandi Anda. Kata sandi terenkripsi ini kemudian disimpan dalam file passwd atau bayangan. Saat Anda mencoba masuk, kata sandi yang Anda ketik dienkripsi lagi dan dibandingkan dengan entri dalam file yang menyimpan kata sandi Anda. Jika cocok, itu harus kata sandi yang sama, dan Anda diizinkan mengakses. Jadi, seorang superuser dapat mengubah kata sandi saya, dapat memblokir akun saya, tetapi dia tidak pernah dapat melihat kata sandi saya.
Jadi, apakah kekhawatirannya cukup berkembang atau sedikit wawasan akan menghilangkan kekhawatirannya?
Kontributor SuperUser Zeel membantu menenangkan pikirannya:
Jawaban singkat: Tidak *
Sandi yang disimpan di komputer lokal Anda dapat didekripsi oleh Chrome, asalkan akun pengguna OS Anda masuk. Lalu Anda dapat melihat itu dalam teks biasa. Pada awalnya ini tampak mengerikan, tapi bagaimana menurut Anda pengisian otomatis bekerja? Ketika kolom kata sandi itu diisi, Chrome harus memasukkan kata sandi yang sebenarnya ke dalam elemen formulir HTML - atau halaman itu tidak akan berfungsi dengan baik, dan Anda tidak dapat mengirimkan formulir. Dan jika koneksi ke situs web tidak melalui HTTPS, teks biasa kemudian dikirim melalui internet. Dengan kata lain, jika chrome tidak bisa mendapatkan kata sandi teks biasa, maka mereka sama sekali tidak berguna. Sebuah hash satu arah tidak baik, karena kita perlu menggunakannya.
Sekarang kata sandi sebenarnya dienkripsi, satu-satunya cara untuk mengembalikannya ke teks biasa adalah dengan kunci dekripsi. Kunci itu adalah kata sandi Google Anda, atau kunci sekunder yang dapat Anda atur. Saat Anda masuk ke Chrome dan menyinkronkan server Google akan mengirimkanterenkripsi kata sandi, pengaturan, penanda, isi-otomatis, dll., ke komputer lokal Anda. Di sini Chrome akan mendekripsi informasi dan dapat menggunakannya.
Di ujung Google semua info disimpan dalam keadaan encrpsi, dan mereka tidak memiliki kunci untuk mendekripsikannya. Kata sandi akun Anda diperiksa dengan hash untuk masuk ke Google, dan bahkan jika Anda membiarkan Chrome mengingatnya, versi terenkripsi tersebut disembunyikan dalam bundel yang sama dengan kata sandi lainnya, tidak mungkin untuk diakses. Jadi seorang karyawan mungkin bisa mengambil data yang dienkripsi, tetapi itu tidak akan menguntungkan mereka, karena mereka tidak akan punya cara untuk menggunakannya. *
Jadi tidak, karyawan Google tidak dapat ** mengakses kata sandi Anda, karena mereka dienkripsi di server mereka.
* Namun, jangan lupa bahwa sistem apa pun yang dapat diakses oleh pengguna yang berwenang dapat diakses oleh pengguna yang tidak sah. Beberapa sistem lebih mudah rusak daripada yang lain, tetapi tidak ada yang gagal-bukti ... Yang sedang berkata, saya pikir saya akan mempercayai Google dan jutaan yang mereka keluarkan untuk sistem keamanan, di atas solusi penyimpanan kata sandi lainnya. Dan heck, saya seorang kutu buku lemah, akan lebih mudah untuk mengalahkan kata sandi dari saya daripada mematahkan enkripsi Google.
** Saya juga mengasumsikan bahwa tidak ada orang yang kebetulan bekerja untuk Google mendapatkan akses ke komputer lokal Anda. Dalam hal ini Anda kacau, tetapi pekerjaan di Google sebenarnya bukan faktor lagi. Moral: Tekan Win + L sebelum meninggalkan mesin.
Meskipun kami setuju dengan zeel bahwa itu adalah taruhan yang cukup aman (selama komputer Anda tidak dikompromikan) bahwa kata sandi Anda sebenarnya aman saat disimpan di Chrome, kami lebih memilih untuk mengenkripsi semua info masuk dan kata sandi kami di lemari besi LastPass.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.
