Google 직원이 Chrome에 저장된 내 비밀번호를 볼 수 있습니까?

Google은 비밀번호를 Chrome에 저장하려고합니다. 가능한 이점은 두 가지입니다.

• 길고 암호화 된 비밀번호를 입력 (암기 및 입력) 할 필요는 없습니다.
• Google 계정에 로그인하면 언제 어디서나 사용할 수 있습니다.

마지막 요점은 의심을 불러 일으켰습니다. 비밀번호는 어디에서나 사용할 수 있으므로 저장소는 중앙 위치에 있어야하며 Google에 있어야합니다.

이제 간단한 질문은 Google 직원이 내 비밀번호를 볼 수 있습니까?

인터넷을 통해 검색하면 여러 기사 / 메시지가 드러났습니다.

• Chrome에 비밀번호를 저장합니까? 아마도 당신은 재고해야 할 것입니다 : 귀하의 컴퓨터 계정에 접근 한 누군가가 귀하의 암호를 도난 당했다고 말하십시오. 중앙 스토리지 보안 및 취약성에 대한 언급은 없습니다. Chrome 브라우저 보안 기술 담당자의 첫 번째 문제에 대한 답변도 있습니다.
• 크롬의 미친 암호 보안 전략 : 대부분 같은 줄을 따라. 컴퓨터 계정에 액세스 할 수 있으면 누군가의 비밀번호를 도용 할 수 있습니다.
• 5 간단한 단계에서 구글 크롬에 암호 저장을 훔치는 방법 : 당신이 실제로 수행하는 방법을 배울 행동 이 다른 사람의 계정에 액세스 할 때 앞의 두에 언급.

(를 포함하여 더 많은있다 이 일 에 이 사이트를 주로 같은 라인을 따라 포인트, 카운터 포인트, 거대한 논쟁). 나는 여기에 언급하지 말고 간단히 찾으려면 검색을 수행하십시오.

원래 검색어로 돌아 오면 Google 직원이 내 비밀번호를 볼 수 있습니까? 간단한 버튼을 사용하여 비밀번호를 볼 수 있기 때문에 암호화 된 경우에도 암호를 해독 (해독) 할 수 있습니다. 이것은 저장된 암호를 일반 텍스트로 볼 수없는 Unix 계열 OS에 저장된 암호와는 매우 다릅니다.

단방향 암호화 알고리즘 을 사용하여 비밀번호를 암호화합니다. 그런 다음이 암호화 된 비밀번호는 passwd 또는 shadow 파일에 저장됩니다. 로그인을 시도하면 입력 한 비밀번호가 다시 암호화되어 비밀번호를 저장하는 파일의 항목과 비교됩니다. 일치하면 암호가 같아야하며 액세스가 허용됩니다. 따라서 수퍼 유저는 비밀번호를 변경하고 내 계정을 차단할 수는 있지만 비밀번호를 볼 수는 없습니다.

짧은 답변 : 아니요 ^*

OS 사용자 계정이 로그인되어있는 한 Chrome에서 로컬 컴퓨터에 저장된 비밀번호를 해독 할 수 있습니다. 그러면 일반 텍스트로 비밀번호를 볼 수 있습니다. 처음에는 이것이 끔찍한 것처럼 보이지만 자동 완성이 어떻게 작동한다고 생각 했습니까? 해당 비밀번호 입력란이 채워지면 Chrome에서 실제 비밀번호를 HTML 양식 요소에 삽입해야합니다. 그렇지 않으면 페이지가 제대로 작동하지 않아 양식을 제출할 수 없습니다. 웹 사이트에 대한 연결이 HTTPS를 통하지 않으면 일반 텍스트가 인터넷을 통해 전송됩니다. 즉, 크롬이 일반 텍스트 비밀번호를 얻을 수 없으면 완전히 쓸모가 없습니다. 한 가지 방법으로 해시를 사용하면 안됩니다.

이제 암호는 실제로 암호화되어 있으며 일반 텍스트로 되 돌리는 유일한 방법은 암호 해독 키를 사용하는 것입니다. 해당 키는 Google 비밀번호 또는 설정할 수있는 보조 키입니다. Chrome에 로그인하고 동기화하면 Google 서버가 암호화 된 비밀번호, 설정, 북마크, 자동 완성 등을 로컬 컴퓨터로 전송합니다. 여기서 Chrome은 정보를 해독하여 사용할 수 있습니다.

Google은 결국 모든 정보가 암호화 된 상태로 저장되며이를 해독 할 키가 없습니다. 계정 비밀번호는 Google에 로그인하기 위해 해시를 기준으로 확인되며, Chrome에서 비밀번호를 기억하더라도 암호화 된 버전은 다른 비밀번호와 동일한 번들에 숨겨져 액세스 할 수 없습니다. 따라서 직원은 암호화 된 데이터의 덤프를 가져올 수는 있지만 사용할 방법이 없기 때문에 아무 것도하지 않습니다. ^*

그래서 어떤 구글 직원 수 없어 ^** , 접속 암호를 그들은 자신의 서버에 암호화되지 않기 때문에.

^{* 그러나 권한이있는 사용자가 액세스 할 수있는 시스템은 권한이없는 사용자가 액세스 할 수 있음을 잊지 마십시오. 일부 시스템은 다른 시스템보다 더 쉽게 침입 할 수 있지만 완벽한 시스템은 없습니다. . . 즉, 다른 비밀번호 저장 솔루션보다 Google과 보안 시스템에 소비하는 수백만을 신뢰한다고 생각합니다. 그리고 나는 멍청한 대단하다 .Google의 암호화를 깨는 것보다 나에게서 암호 를 이기는 것이 더 쉬울 것이다 .}

^{** 또한 Google에서 로컬 컴퓨터에 액세스하기 위해 일하는 사람이 없다고 가정합니다. 이 경우 당신은 혼란에 빠지지만 Google에서의 고용은 실제로 더 이상 고려되지 않습니다. 도덕 : 기계를 떠나기 전에 Win+ L를 누르십시오 .}

실제로 대부분의 브라우저에서 비밀번호를 검색하는 것은 쉽지 않습니다. 미친 암호 보안 기사는 주로 Safari를 사용하는 사람이 작성했으며 HAS가 올바른 방법이라고 생각하는 것 같습니다. 이것은 모호한 사용자 수준 보안입니다. 이 문제를 제기 한 사람은 주로 보안 개발이 아닌 iOS, OS X 및 웹 개발을 수행하는 개발자이며 Google의 반론 도 읽고 싶을 수도 있습니다.

Windows 에서 Nirsoft의이 도구를 사용하면 여러 브라우저에서 모든 비밀번호를 스나 핑 할 수 있습니다. 누군가 시스템에 물리적으로 액세스 할 수있는 경우 너무 늦습니다.

그리고 Google은 직원이 귀하의 비밀번호를 볼 수 없을 것입니다. 브라우저의 실제 동기화 부분은 로그인 자격 증명이나 자신의 암호를 사용하여 암호화됩니다. Google에는 비밀번호의 암호화되지 않은 사본이 없습니다. 해당 비밀번호가 유출되지 않도록하고, 약간의 노력을 기울이려는 유혹을 , 정부가 Google에 비밀번호를 넘겨달라고 요구하는 것이 좋습니다. 당신은 당신이 모르는 것을 조정할 수 없습니다.

정말로 걱정이된다면 타사 비밀번호 관리자를 사용하여 신뢰할 수있는 방식으로 동기화하거나 덜 일반적인 웹 브라우저 (이 도구가 지원하지 않는)를 마스터 비밀번호와 함께 사용하십시오. 그럼에도 불구하고 GPU 가속 암호 크래킹 이 가능한 날에는 일반 텍스트 암호 저장이 유용하지 않다는 주장 이 있습니다.

이론적으로는 아닙니다. 자세한 내용은 https://support.google.com/chrome/answer/1181035 를 참조하십시오. 그러나 기본적으로 동기화 된 데이터 (암호, 북마크, 기록 등)는 Google 서버로 전송되기 전에 암호화됩니다. 암호화는 Google 계정 비밀번호 또는 동기화 목적으로 선택한 별도의 비밀번호를 사용합니다. 비밀번호를 항상 입력하지 않고 동기화 된 상태를 유지하려면 동기화 비밀번호를 로컬 컴퓨터에 저장해야합니다.

Google 직원이 사용자의 비밀번호를 확인하려면 (로컬 컴퓨터에 액세스 할 수 없다고 가정) Google 계정 비밀번호 또는 동기화 비밀번호를 알아야합니다. Google 계정 비밀번호가 일종의 해시 형식으로 저장되어 동기화 된 데이터를 쉽게 해독 할 수 없다고 가정합니다.

분명히 말하면 Chrome과 관련하여 두 가지 비밀번호 저장 문제가 있습니다. 하나는 암호가 로컬에 저장되는 방법이며, 다른 링크는 누군가가 로컬 계정에 액세스 할 수있는 경우 해당 암호를 쉽게 볼 수있는 방법에 대해 설명 합니다 . 다른 문제는 위에서 논의한 것, 즉 비밀번호가 Google 서버에 전송되어 여러 Chrome 설치에서 사용할 수 있도록하는 방법입니다.