¿Pueden los empleados de Google ver mis contraseñas de Google Chrome guardadas?
Almacenar sus contraseñas en su navegador web parece ser un gran ahorro de tiempo, pero son las contraseñas seguras e inaccesibles para los demás (incluso los empleados de la compañía de navegadores) cuando se guardan.?
La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..
La pregunta
SuperUser reader MMA es curioso si los empleados de Google tienen (o podrían tener) acceso a las contraseñas que almacena en Google Chrome:
Entiendo que estamos realmente tentados a guardar nuestras contraseñas en Google Chrome. El beneficio probable es doble,
- No es necesario (memorizar y) ingresar esas contraseñas largas y crípticas.
- Estos están disponibles dondequiera que esté una vez que inicie sesión en su cuenta de Google.
El último punto despertó mi duda. Dado que la contraseña está disponible en cualquier sitio, el almacenamiento debe estar en una ubicación central, y esto debería estar en Google.
Ahora, mi simple pregunta es, ¿puede un empleado de Google ver mis contraseñas??
La búsqueda en internet reveló varios artículos / mensajes..
- ¿Guardas contraseñas en Chrome? Tal vez debería reconsiderar: Las conversaciones sobre el robo de sus contraseñas por alguien que tiene acceso a su cuenta de computadora. Nada se menciona sobre la seguridad y vulnerabilidad del almacenamiento central. Incluso hay una respuesta del líder tecnológico de seguridad del navegador Chrome sobre el primer problema.
- La estrategia de seguridad de la contraseña de Chrome: principalmente en la misma línea. Puede robar la contraseña de alguien si tiene acceso a la cuenta de la computadora.
- Cómo robar contraseñas guardadas en Google Chrome en 5 sencillos pasos: le enseña cómo realizar la acto mencionado en los dos anteriores cuando tiene acceso a la cuenta de otra persona.
Hay muchos más (incluido este en este sitio), principalmente en la misma línea, puntos, contrapuntos, grandes debates. Me abstengo de mencionarlas aquí, simplemente haga una búsqueda si quiere encontrarlas..
Volviendo a mi consulta original, ¿puede un empleado de Google ver mi contraseña? Ya que puedo ver la contraseña con un simple botón, definitivamente se pueden descifrar (descifrar) incluso si están cifrados. Esto es muy diferente de las contraseñas guardadas en sistemas operativos similares a Unix, donde la contraseña guardada nunca se puede ver en texto sin formato.
Utilizan un algoritmo de cifrado de una vía para cifrar sus contraseñas. Esta contraseña cifrada se almacena en el archivo de contraseña o sombra. Cuando intenta iniciar sesión, la contraseña que ingresa se cifra nuevamente y se compara con la entrada en el archivo que almacena sus contraseñas. Si coinciden, debe ser la misma contraseña, y se le permite el acceso. Por lo tanto, un superusuario puede cambiar mi contraseña, puede bloquear mi cuenta, pero nunca puede ver mi contraseña.
Por lo tanto, ¿están sus preocupaciones bien fundadas o una pequeña idea disipará su preocupación??
La respuesta
Zeel, colaborador del superusuario, lo ayuda a tranquilizarse:
Respuesta corta: No *
Chrome puede descifrar las contraseñas almacenadas en su máquina local, siempre que su cuenta de usuario del sistema operativo esté conectada. Y luego puede verlas en texto sin formato. Al principio esto parece horrible, pero ¿cómo pensaste que funcionaba el llenado automático? Cuando se completa ese campo de contraseña, Chrome debe insertar la contraseña real en el elemento del formulario HTML; de lo contrario, la página no funcionaría correctamente y no pudo enviar el formulario. Y si la conexión al sitio web no es a través de HTTPS, el texto simple se envía a través de Internet. En otras palabras, si Chrome no puede obtener las contraseñas de texto sin formato, entonces son totalmente inútiles. Un hash de una sola vía no es bueno, porque necesitamos usarlos.
Ahora que las contraseñas están de hecho encriptadas, la única manera de volverlas a texto sin formato es tener la clave de descifrado. Esa clave es su contraseña de Google, o una clave secundaria que puede configurar. Al iniciar sesión en Chrome y sincronizar, los servidores de Google transmitirán cifrado contraseñas, configuraciones, marcadores, autocompletar, etc., a su máquina local. Aquí Chrome descifrará la información y podrá utilizarla..
En el extremo de Google, toda esa información se almacena en su estado cifrado y no tienen la clave para descifrarla. La contraseña de su cuenta se compara con un hash para iniciar sesión en Google, e incluso si deja que Chrome lo recuerde, esa versión cifrada está oculta en el mismo paquete que las otras contraseñas, de acceso imposible. Por lo tanto, es probable que un empleado pueda obtener un volcado de los datos cifrados, pero no les serviría de nada, ya que no tendrían forma de usarlos. *
Así que no, los empleados de Google no pueden ** acceder a sus contraseñas, ya que están cifradas en sus servidores.
* Sin embargo, no olvide que cualquier usuario no autorizado puede acceder a cualquier sistema al que pueda acceder un usuario autorizado. Algunos sistemas son más fáciles de romper que otros, pero ninguno es a prueba de fallas ... Dicho esto, creo que confiaré en Google y en los millones que gastan en sistemas de seguridad, por encima de cualquier otra solución de almacenamiento de contraseñas. Y demonios, soy un empollón débil, sería más fácil eliminar las contraseñas que romper el cifrado de Google.
** También asumo que no hay una persona que trabaje para que Google obtenga acceso a su máquina local. En ese caso, estás jodido, pero el empleo en Google ya no es un factor. Moraleja: pulsa Win + L antes de abandonar la máquina..
Si bien estamos de acuerdo con Zeel en que es una apuesta bastante segura (siempre que su computadora no esté comprometida) que sus contraseñas sean seguras mientras están almacenadas en Chrome, preferimos cifrar todos nuestros nombres de usuario y contraseñas en una bóveda de LastPass.
¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.