Le mie password salvate in Google Chrome sono sicure quando sono disconnesso?

Question

Le mie password salvate in Google Chrome sono sicure quando sono disconnesso?

#1 da (7 voti)

9

Comprendo che Chrome utilizza il meccanismo di memorizzazione delle password del sistema operativo per proteggere le password sul tuo computer. ¹ Capisco anche che queste password possono essere (nel mio caso, sono) protette con un passphrase di mia scelta, per sincronizzarli nel cloud.

Le mie password sono al sicuro quando sono disconnesso dal mio account Linux / Windows locale?

Esistono mezzi sia su ² che su Windows ^{< a href="http://pogostick.net/~pnh/ntpasswd/"> 3} per cancellare / modificare le password degli account utente. Un utente malintenzionato può semplicemente reimpostare la password dell'account locale, accedere a esso, aprire Chrome ed essere in grado di utilizzare le mie password? Oppure il meccanismo di protezione con password del sistema operativo previene questo?

Esistono diverse fonti che indicano che DPAPI di chiavi / Windows ricava la chiave di decrittografia dell'archivio delle password dalla password dell'account. ⁴

La "sessione" di Google Chrome è protetta allo stesso modo?

Sono solo riluttante a "fidarmi" che tutto è sicuro senza capire cosa sta succedendo sotto il cofano.

Sarebbe bello se Chrome mi chiedesse una password principale, ma non vogliono implementarla. ⁵ Sto bene con questo, come da quando so che i miei dati sono protetti dal mio account account utente.

web-browser chrome

posta Jonathon Reinhart 03.01.2015 - 04:42

fonte

1 risposta

Leggi altre domande sui tag web-browser chrome

Nelle macchine virtuali, le cartelle condivise riducono l'efficacia della sicurezza? Come monitorare il traffico della mia rete domestica?

score 7 · Answer 1

Nei casi in cui una chiave di memorizzazione della password è derivata dalla password dell'account, è impossibile ottenere l'accesso forzando la password dell'account. Quando ciò accade, l'archivio delle password viene crittografato con una chiave derivata dalla password. Decifrare richiede la password; la password non è solo usata per dire al sistema operativo che hai il permesso di vederlo (come i normali permessi dei file), è l'unico modo per decodificare l'archivio, perché la chiave di decodifica non è memorizzata da nessuna parte sul disco (viene ri-derivata ogni volta inserisci la tua password). Questa è la grande differenza tra la crittografia e il controllo degli accessi: il controllo degli accessi può generalmente essere aggirato perché si basa sul sistema operativo permettendoti di accedere a qualcosa o non permettendoti di farlo, ma la crittografia non può perché l'unico modo per ottenere i dati è qualcosa che si trova solo in la testa dell'utente.

Il sistema operativo non conosce la password : memorizza un hash della password, ma non memorizza la password e non memorizza la chiave. Chiunque abbia accesso al tuo account in qualsiasi modo tranne che per l'inserimento della tua password non può decodificare l'archivio delle password. Ciò include il ripristino della password. Se lo si modifica normalmente, il sistema operativo può decodificare lo store con quello vecchio (che è stato fornito per accedere o fornito per cambiare la password) e salvarlo nuovamente crittografato con quello nuovo. Se lo si cambia con gli strumenti di reimpostazione password, ciò che fa il sistema operativo è sovrascrivere l'hash della password, ma non può decrittografarlo per crittografarlo nuovamente. A volte mantiene il vecchio in giro nel caso in cui l'utente conoscesse la propria password, ma ha dovuto resettarlo per qualche motivo (nel qual caso possono inserirlo al prossimo accesso al proprio account per cambiare la chiave di crittografia), ma i dati rimangono inaccessibile finché non viene immessa la password originale per decrittografarlo.