क्या Google कर्मचारी मेरे सहेजे गए Google Chrome पासवर्ड देख सकते हैं?

अपने वेब ब्राउज़र में अपने पासवर्ड को संग्रहीत करना एक महान समय सेवर की तरह लगता है, लेकिन क्या पासवर्ड सुरक्षित और दूसरों के लिए दुर्गम हैं (यहां तक ​​कि ब्राउज़र कंपनी के कर्मचारी भी)?

आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों का एक समुदाय-संचालित समूह है।.

प्रश्न

SuperUser रीडर MMA उत्सुक है यदि Google कर्मचारियों के पास Google Chrome में संग्रहीत पासवर्ड तक पहुंच (या हो सकती है):

मैं समझता हूं कि Google Chrome में अपने पासवर्ड सहेजने के लिए हम वास्तव में लुभा रहे हैं। संभावित लाभ दो गुना है,

• आपको उन लंबे और गूढ़ पासवर्डों को इनपुट (याद और) करने की आवश्यकता नहीं है.
• जब भी आप अपने Google खाते में लॉग इन करते हैं तो ये उपलब्ध होते हैं.

आखिरी बिंदु ने मेरे संदेह को जगा दिया। चूंकि पासवर्ड उपलब्ध है कहीं भी, भंडारण कुछ केंद्रीय स्थान पर होना चाहिए, और यह Google पर होना चाहिए.

अब, मेरा सरल प्रश्न है, क्या कोई Google कर्मचारी मेरे पासवर्ड देख सकता है?

इंटरनेट पर खोज करने से कई लेख / संदेश सामने आए.

• क्या आप Chrome में पासवर्ड सहेजते हैं? हो सकता है कि आपको पुनर्विचार करना चाहिए: आपके पासवर्ड की चोरी किसी ऐसे व्यक्ति द्वारा की जा रही है जिसके पास आपके कंप्यूटर खाते की पहुंच है। केंद्रीय भंडारण सुरक्षा और भेद्यता के बारे में कुछ भी उल्लेख नहीं किया गया है। यहां तक ​​कि पहले मुद्दे के बारे में क्रोम ब्राउज़र सुरक्षा टेक लीड की प्रतिक्रिया भी है.
• Chrome की पागल पासवर्ड सुरक्षा रणनीति: अधिकतर एक ही पंक्ति में। यदि आपके पास कंप्यूटर खाते तक पहुंच है, तो आप किसी से पासवर्ड चुरा सकते हैं.
• 5 सरल चरणों में Google क्रोम में सहेजे गए पासवर्ड को कैसे चोरी करें: आपको सिखाता है कि वास्तव में प्रदर्शन कैसे करना है अधिनियम पिछले दो में उल्लेख किया है जब आपके पास किसी और के खाते तक पहुंच है.

कई और भी हैं (इस एक सहित) इस साइट), ज्यादातर एक ही पंक्ति, अंक, प्रति-बिंदु, भारी बहस के साथ। मैं यहां उनका उल्लेख करने से बचता हूं, अगर आप उन्हें ढूंढना चाहते हैं तो बस एक खोज करें.

मेरी मूल क्वेरी पर वापस आते हुए, क्या Google कर्मचारी मेरा पासवर्ड देख सकता है? चूंकि मैं एक साधारण बटन का उपयोग करके पासवर्ड देख सकता हूं, निश्चित रूप से एन्क्रिप्ट किए जाने पर भी वे अनहैश (डिक्रिप्ट) हो सकते हैं। यह यूनिक्स जैसे ओएस में सहेजे गए पासवर्ड से बहुत अलग है, जहां सहेजे गए पासवर्ड को सादे पाठ में कभी नहीं देखा जा सकता है.

वे आपके पासवर्ड को एन्क्रिप्ट करने के लिए एक तरफ़ा एन्क्रिप्शन एल्गोरिथम का उपयोग करते हैं। इस एन्क्रिप्टेड पासवर्ड को फिर पासवार्ड या शैडो फाइल में स्टोर किया जाता है। जब आप लॉगिन करने का प्रयास करते हैं, तो आपके द्वारा टाइप किया गया पासवर्ड फिर से एन्क्रिप्ट किया जाता है और आपके पासवर्ड को संग्रहीत करने वाली फ़ाइल में प्रविष्टि के साथ तुलना की जाती है। यदि वे मेल खाते हैं, तो यह एक ही पासवर्ड होना चाहिए, और आपको एक्सेस की अनुमति है। इस प्रकार, एक सुपरयुसर मेरा पासवर्ड बदल सकता है, मेरा खाता ब्लॉक कर सकता है, लेकिन वह कभी भी मेरा पासवर्ड नहीं देख सकता है.

तो उसकी चिंताएँ अच्छी तरह से स्थापित हैं या थोड़ी सी समझदारी उसकी चिंता को दूर कर देगी?

उत्तर

SuperUser योगदानकर्ता Zeel अपने दिमाग को आसानी से रखने में मदद करता है:

संक्षिप्त उत्तर: नहीं *

आपके स्थानीय मशीन पर संग्रहीत पासवर्ड को क्रोम द्वारा डिक्रिप्ट किया जा सकता है, जब तक कि आपका ओएस उपयोगकर्ता खाता लॉग इन नहीं होता है। और फिर आप उन लोगों को सादे पाठ में देख सकते हैं। पहले तो यह भयानक लगता है, लेकिन आपने कैसे सोचा कि ऑटो-फिल ने काम किया है? जब वह पासवर्ड फ़ील्ड भर जाता है, तो Chrome को HTML फॉर्म एलिमेंट में असली पासवर्ड डालना होगा - या फिर पेज सही से काम नहीं करेगा, और आप फॉर्म सबमिट नहीं कर सकते। और यदि वेबसाइट का कनेक्शन HTTPS से अधिक नहीं है, तो सादे पाठ को इंटरनेट पर भेजा जाता है। दूसरे शब्दों में, यदि क्रोम को सादे टेक्स्ट पासवर्ड नहीं मिल सकते हैं, तो वे पूरी तरह से बेकार हैं। एक तरीका हैश अच्छा नहीं है, क्योंकि हमें उनका उपयोग करने की आवश्यकता है.

अब पासवर्ड वास्तव में एन्क्रिप्टेड हैं, उन्हें सादे पाठ में वापस लाने का एकमात्र तरीका डिक्रिप्शन कुंजी है। वह कुंजी आपका Google पासवर्ड या द्वितीयक कुंजी है जिसे आप सेट कर सकते हैं। जब आप क्रोम में साइन इन करते हैं और Google सर्वर सिंक करते हैं, तो वह ट्रांसमिट हो जाएगा को गोपित पासवर्ड, सेटिंग्स, बुकमार्क, ऑटो-भरण, आदि आपकी स्थानीय मशीन पर। यहां क्रोम जानकारी को डिक्रिप्ट करेगा और इसका उपयोग करने में सक्षम होगा.

Google के अंत में वह सारी जानकारी उसके गुप्त राज्य में संग्रहीत है, और उनके पास इसे डिक्रिप्ट करने की कुंजी नहीं है। Google में लॉग इन करने के लिए आपके खाते के पासवर्ड को हैश के विरुद्ध जांचा जाता है, और यहां तक ​​कि अगर आप क्रोम को इसे याद रखने देते हैं, तो एन्क्रिप्टेड संस्करण उसी बंडल में छिपा हुआ है, जो अन्य पासवर्डों तक पहुंचना असंभव है। इसलिए एक कर्मचारी शायद एन्क्रिप्ट किए गए डेटा के एक डंप को पकड़ सकता है, लेकिन यह उन्हें किसी भी अच्छा नहीं करेगा, क्योंकि उनके पास इसका उपयोग करने का कोई तरीका नहीं होगा। *

इसलिए नहीं, Google कर्मचारी आपके पासवर्ड तक पहुंच नहीं सकते हैं, क्योंकि वे अपने सर्वर पर एन्क्रिप्टेड हैं.

* हालांकि, यह मत भूलो कि किसी भी सिस्टम को अधिकृत उपयोगकर्ता द्वारा एक्सेस किया जा सकता है जो एक अनधिकृत उपयोगकर्ता द्वारा एक्सेस किया जा सकता है। कुछ सिस्टम अन्य की तुलना में आसान होते हैं, लेकिन कोई भी फेल-प्रूफ नहीं होता ... यह कहा जा रहा है, मुझे लगता है कि मैं Google और उन लाखों लोगों पर भरोसा करूंगा, जो किसी भी अन्य पासवर्ड स्टोरेज सॉल्यूशन पर खर्च करते हैं। और हेक, मैं विम्पी निडर हूं, Google के एन्क्रिप्शन को तोड़ने की तुलना में मेरे लिए पासवर्ड को हरा देना आसान होगा.

** मैं यह भी मान रहा हूं कि ऐसा कोई व्यक्ति नहीं है जो सिर्फ आपके स्थानीय मशीन तक पहुंच प्राप्त करने के लिए Google के लिए काम करता है। उस स्थिति में आप खराब हो जाते हैं, लेकिन Google में रोजगार वास्तव में कोई कारक नहीं है। Moral: मशीन छोड़ने से पहले विन + एल को मारो.

हालांकि हम इस बात से सहमत हैं कि यह एक बहुत ही सुरक्षित शर्त है (जब तक आपका कंप्यूटर समझौता नहीं किया जाता है) कि क्रोम में संग्रहीत होने के दौरान आपके पासवर्ड वास्तव में सुरक्षित हैं, हम लास्टपास वॉल्ट में अपने सभी लॉगिन और पासवर्ड को एन्क्रिप्ट करना पसंद करते हैं।.

स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.