Chrome과 Chrome 동기화를 사용하고 있습니다. Google은 내 비밀번호에 액세스 할 수 있습니까?

저는 수년 동안 Chrome (및 Chrome 동기화)을 사용해 왔습니다. Chrome 소유자 인 Google이 내 비밀번호를 모두 알고 있다는 의미입니까?

Google이 Chrome을 소유하고 있으며 폐쇄 소스 브라우저이므로 브라우저에서 비밀번호를 수집 할 수있는 백도어가있을 수 있다는 사실을 알고 있기 때문에 묻습니다.

또한 Firefox와 같은 경우입니까?

— 셀린 펙
소스

브라우저에 로그인할지 여부를 지정하지 않았습니다. Chrome에 로그인하지 않으면 모든 설정, 비밀번호 등이 클라우드가 아닌 로컬에 저장됩니다.

— ernie

@ernie는 동기화를 사용하므로 모든 지역이 아닙니다

— Tim S.

Google은 모든 것을 알고 있습니다. 구글이 무언가를 찾지 못하면 존재하지 않는다 ..;)

— Sp0T

답변:

짧은 대답입니다. 동기화가 활성화되어 있고 비밀번호 저장을 선택하면 해당 비밀번호가 Google 서버로 전송됩니다. 즉, 데이터는 암호화되며 액세스가 제한됩니다.

기본적으로 Google은 계정 자격 증명을 사용하여 동기화 된 데이터를 암호화합니다 . Google은 비밀번호를 모르면이 데이터를 해독 할 수 없으며 실제로 자격 증명이 변경되면 동기화 된 모든 데이터를 시스템에서 삭제 한 다음 기기에서 다시 동기화 할 수 있음을 나타냅니다. 새 자격 증명으로 다시 암호화).

따라서 모든 것이 올바르게 작동하면 Google 자체를 신뢰할 수 있으며 Google 인프라는 NSA, 범죄 해커 등을 읽고 관심있는 제 3자를 보호 할 수있을 정도로 안전하므로 데이터는 안전합니다. 그러나 구글은 여전히 데이터를 해독 할 수는 있지만 아직 알려지지 않았다. 이것은 단순히 암호 키 (자격 증명)를 만드는 데 관여하여 키를 저장하고 잘못 사용할 가능성이있는 결과입니다.

이 신뢰 수준은 내가 원하는 것보다 높 으므로이 상황에서 암호를 저장하거나 데이터를 서비스에 동기화하지 않기로 선택하지만 이는 내 선호 사항입니다. 바보 만이 모든 사람을 신뢰하지만 더 큰 바보 만이 아무도 신뢰하지 않습니다.

— 프랭크 토마스
소스

링크 된 페이지는 "동기 암호로 모든 동기화 된 데이터를 암호화하도록 선택할 수 있습니다.이 암호는 컴퓨터에 저장되며 Google로 전송되지 않습니다."라고 언급 할 가치가 있습니다.

— and31415

@ FrankThomas : 나는 그것을 얻지 못한다. 데이터를 동기화 할 때 고유 한 암호를 선택할 수 있습니다. 즉, Google은 암호를 모르므로 데이터를 해독 할 수 없습니다. 그렇지 않습니까?

— Mehrdad

구글 크롬을 사용하여 어떤 국가 안보국이에 관심이있을 수있는 데이터 것은 끔찍한 실수입니다.

— JonathanReez 모니카 지원

예. 동기화하는 모든 데이터를 암호화하면 Google은 작업이 완전히 클라이언트 측에서 이루어지며 키를 쉽게 유추 할 수 없다고 Google에 표시합니다. 그것은 그 자체로 더 안전하지만 안전하지는 않습니다. 암호의 해시를 유지하는지, 키가 유일한 암호인지 등 어떤 암호가 사용되고 있는지 잘 모릅니다. 미국 법률에 따라 서비스가 암호화 된 데이터를 보유하도록 허용하지 않습니다. 합법적 요격 요청.

— Frank Thomas

@ FrankThomas, 그게 무슨 법이야? 규칙에 따라 일반 텍스트에 액세스 할 수 있는 기술적 기능 이 있으면이를 준수해야하지만 해독 할 수없는 암호화 된 BLOB 저장은 어떤 식 으로든 불법이 아니라고 생각했습니다.

— thirtythreeforty

암호화 설정 에 따라 다릅니다 .

Google 자격 증명으로 동기화 된 비밀번호 암호화 : 기본 옵션입니다. 저장된 비밀번호는 Google 서버에서 암호화되며 Google 계정 자격 증명으로 보호됩니다.

이 옵션을 사용하면 Google이 귀하의 데이터에 액세스 할 수 있습니다.

자신의 동기화 암호로 동기화 된 모든 데이터 암호화 : 동기화하도록 선택한 모든 데이터를 암호화하려면이 옵션을 선택하십시오. 컴퓨터에만 저장되는 고유 한 암호를 제공 할 수 있습니다.

이 옵션을 사용하면 암호로 인해 발생하는 일에 대해 정직 하다고 가정 할 때 (암호 구를 잊어 버린 경우에 귀하의 이익을 위해 보관하지 않는다는 사실이 밝혀 짐) , Google은 귀하의 데이터에 액세스 할 수 없습니다. 동기화 보안에 약간의 허점 구멍 (또는 백도어)이 있으며 암호 문구는 Google의 무차별 대입 시도를 견딜 수있을 정도로 안전합니다 (이러한 암호는 가능하지만 매우 비정형 적입니다).

KeePass 와 같은 오프라인 비밀번호 관리자 를 Chrome과 함께 브라우저로 사용하여 Google이 비밀번호를 가로 챌 기회를 줄일 수 있습니다 . 더 이상 Google 제품을 사용하지 않고 기회를 완전히 제거 할 수 있습니다 (Google 드라이브 또는 Chrome에 키로거를 실제로 번들로 묶은 경우 어떻게됩니까?) 비밀번호를 해독 할 수없는 경우에도 마찬가지입니다.

Firefox의 경우 데이터 보안은 Firefox 계정 암호 의 보안 수준에 달려 있습니다. 올바른 비밀번호를 선택하면 Mozilla 또는 다른 사람이 귀하의 비밀번호에 액세스 할 수 없습니다. 그러나 이것은 Mozilla가 시스템 작동 방식에 대해 정직하고 가정의 보안에 허점이없는 것으로 가정합니다. Mozilla를 사용하는 대신 개인용 동기화 서버 를 실행하여 보안을 강화할 수 있습니다 . Firefox는 오픈 소스이고 Mozilla 는 Google보다 개인 정보 보호에 대한 기록 이 우수 하므로 데이터를 손상 시키려는 가능성이 훨씬 낮습니다.

필요에 따라 편집증 수준을 선택하십시오. Snowden 수준의 요구에는 Google을 사용하지 않지만 일반적인 개인 정보 요구에 대해서는 최소한 Google Sync에서 암호를 사용합니다 (Google 계정에 액세스하는 공격자가 이전에 다른 계층을 갖도록) 비밀번호가 있습니다).

또한 누군가가 PC에 키 로거 (화면 스크레이퍼 및 마우스 클릭 레코더로 보완되어 화면 키보드와 싸우는)를 설치하면이 모든 것이 사라집니다.

— 팀 S.
소스

당신의 편집증은 정당합니다. 예, Google은 비밀번호에 액세스 할 수 있습니다. 사용자 정의 암호를 정의한 경우에도 암호가 일반적인 사람이 선택한 암호가 아닌 임의의 암호가 아닌 경우에도 마찬가지입니다. 그 이유는 Chrome에서 암호를 암호화 키로 변환하는 데 사용하는 접근 방식 (PBKDF2-HMAC-SHA1은 1003 반복)은 엄청나게 간단합니다. Google의 리소스를 사용하지 않으므로 그래픽 카드에 1000 달러 미만을 투자하려는 사람은 며칠 내에 대부분의 비밀번호를 추측 할 수 있습니다. 현재 구현은 가변 소금을 설정하지 못하여 모든 계정에 대한 암호를 병렬로 추측 할 수 있습니다.

현재 Firefox 동기화 구현이 훨씬 좋습니다. 서버의 데이터에 액세스하는 사람만으로는 모든 작업을 수행 할 수 없으며 보호 기능이 제대로 작동하지 않습니다. 해당 보호의 클라이언트 쪽 구성 요소는 현재 차선책이므로 (1000 회 반복되는 PBKDF2-HMAC-SHA256) 서버로 전송 될 때 암호 해시를 가로 챌 수있는 사람은 누구나 암호를 비슷한 것으로 추측 할 수 있습니다. 적은 노력.

추가 정보:

— 블라디미르 팔라 트
소스