那些遇到过的问题

我正在使用 Chrome 和 Chrome 同步;Google 可以访问我的密码吗?

Sel*_*eck 36 security google-chrome passwords privacy

我多年来一直在使用 Chrome(和 Chrome 同步)。这是否意味着 Chrome 的所有者谷歌知道我所有的密码?

我问是因为我意识到谷歌拥有 Chrome,而且它是一个封闭源代码浏览器,这意味着可能存在某种允许浏览器收集我的密码的后门。

另外,Firefox 的情况是否相同?

Fra*_*mas 43

简短的回答,是的。如果启用同步,并且您选择保存密码,则该密码将发送到 Google 的服务器。也就是说,数据是加密的,对它的访问是有限的。

默认情况下,Google 使用您的帐户凭据加密您的同步数据。Google 表示,在不知道您的密码的情况下无法解密这些数据,事实上,当您的凭据更改时,必须从其系统中删除所有同步数据,然后才能从您的设备重新同步(并且在此过程中使用您的新凭据重新加密)。

因此,如果一切正常,Google 自己就可以信任,而且 Google 的基础架构足够安全,可以将感兴趣的第三方拒之门外(阅读 NSA、犯罪黑客等),那么您的数据就是安全的。尽管如此,谷歌仍然有能力解密你的数据,尽管他们没有公开。这只是他们参与创建密码密钥(您的凭据)的结果,使他们能够保存并可能滥用密钥。

这种信任程度超出了我的意愿,因此在这种情况下,我会选择不保存密码或将数据同步到他们的服务,但这只是我的偏好。只有傻瓜才会信任所有人,但只有更大的傻瓜才不会信任任何人。

  • 值得一提的是,链接页面上写着:“或者,您可以选择使用同步密码加密所有同步数据。此同步密码存储在您的计算机上,不会发送给 Google。” (12认同)
  • 是的,如果您对同步的所有数据进行加密,谷歌表示该操作完全发生在客户端,在这种情况下,他们将无法轻松推断出密钥。这确实使它更安全,但本身并不安全。我们不知道正在使用什么密码,他们是否维护密码的哈希值,您的密钥是否是唯一的,等等。美国法律并没有真正允许服务保存他们自己无法访问的加密数据以响应合法的拦截请求。 (5认同)
  • 使用谷歌浏览器获取 NSA 可能感兴趣的*任何*数据是一个可怕的错误。 (4认同)
  • @FrankThomas:我不明白。您可以在同步数据时选择自己的密码。这意味着谷歌不知道密码,因此无法解密数据......不是吗? (2认同)
  • @FrankThomas,那是什么法律?我认为规则是,如果我有*技术能力* 来访问他们的明文,那么我必须遵守,但是我无法解密的加密 blob 的存储在任何情况下都不是非法的。 (2认同)

Tim*_* S. 23

这取决于您的加密设置

  • 使用您的 Google 凭据加密同步密码:这是默认选项。您保存的密码在 Google 的服务器上加密,并使用您的 Google 帐户凭据进行保护。

通过此选项,Google 可以访问您的数据。

  • 使用您自己的同步密码加密所有同步数据:如果您想加密您选择同步的所有数据,请选择此选项。您可以提供自己的密码,该密码只会存储在您的计算机上。

使用此选项,Google 将无法访问您的数据,假设他们对您的密码发生的事情诚实(如果您忘记密码会发生什么,这表明他们不会为了您的利益而存储它),不要他们的同步安全性中存在一些漏洞(或后门),并且您的密码足够安全,可以承受 Google 的蛮力尝试(这样的密码是可能的,但非常不典型)。

您可以通过将KeePass等离线密码管理器与 Chrome 结合用作浏览器来减少 Google 拦截您密码的机会。您可以通过不再使用 Google 产品来完全消除这个机会(如果他们真的将键盘记录器与 Google Drive 或 Chrome 捆绑在一起呢?而使用 Gmail,密码重置请求可能会以一种或另一种方式被拦截,可能导致 Google 访问您的帐户,即使您的密码无法破解)。

使用 Firefox,您数据的安全性取决于您的 Firefox 帐户密码的安全性。如果您选择了一个好的密码,那么 Mozilla 或任何人都应该无法访问您的密码。然而,这假设 Mozilla 对系统的工作方式是诚实的,并且他们的安全性中没有漏洞(或后门)。您可以通过运行您自己的私有同步服务器而不是使用 Mozilla 的来增加额外的安全措施。由于 Firefox 是开源的,而且 Mozilla在隐私方面的记录比 Google 好,因此他们试图破坏您的数据的可能性似乎要低得多。

根据您的需要,根据您的喜好选择您的偏执程度。我不会使用 Google 来满足斯诺登级别的需求,但对于普通的隐私需求,我至少会在 Google Sync 上使用密码(这样访问您的 Google 帐户的攻击者可以在他之前通过另一层有你的密码)。

另外,请注意,如果有人设法在您的 PC 上安装键盘记录器(可能辅以屏幕刮刀和鼠标点击记录器以对抗屏幕键盘),所有这些都会消失。

Wla*_*ant 5

你的偏执是有道理的。是的,Google 可以访问您的密码。如果您定义了自定义密码,情况也是如此,除非该密码是真正随机的而不是典型的人类选择的密码。原因是,Chrome 使用的将该密码转换为加密密钥的方法(PBKDF2-HMAC-SHA1 将进行 1003 次迭代)对于暴力破解而言非常简单。它不需要谷歌的资源,任何愿意投资不到 1000 美元购买显卡的人都可以在几天内猜出大多数密码。当前的实现甚至无法设置变量盐,这允许并行猜测所有帐户的密码。编辑(2020-03-15):从 Chrome 80 开始,使用了更好的实现。因此,只要您设置密码,您的密码就会安全。

当前的 Firefox Sync 实现要好得多。任何仅仅访问服务器上数据的人都无法用它做很多事情,保护是健全的。然而,该保护的客户端组件目前并不是最佳(PBKDF2-HMAC-SHA256,具有 1000 次迭代),因此任何能够在密码哈希发送到服务器时拦截该密码的人都将能够以类似的方式猜测您的密码。一点点努力。

附加信息:

归档时间:

查看次数:

15785 次

最近记录:

5 年,6 月 前
相关归档
Google Chrome - 在新标签页中打开弹出窗口? 32
禁用chrome“登录为”弹出窗口 13
打印密码:如何区分 l/1、o/O/0 等并可视化空间? 11
chrome浏览器默认字体设置 9
Chrome youtube 无法播放/Twitch 播放时没有声音 8
从 Chrome 网络浏览器的 pdf 查看器中显示的 pdf 文件中复制文本 7
如何让 Google Chrome 在不打开第二个窗口的情况下保存 PDF 文件? 7
超越用户名/密码的安全性? 5
在 Windows 8 上的现代 UI Chrome 中启用 Java 3
谷歌浏览器正在将任何搜索结果重定向到自定义搜索引擎 0
难疑归档
如何修复有关 ECDSA 主机密钥的警告 387
OS X 10.7.1 上的“系统中打开的文件太多”错误是否有修复? 238
显示在 Linux 中按下的键 183
如何从终端找出 Mac OS X 版本? 162
我的 USB-C 端口旁边的 D 形图标是什么? 150
如何退出现代 UI 应用程序? 131
更改 ConEmu 的默认启动目录 117
Excel - 防止单元格文本溢出到下一个(空)单元格 109
如何找出正在运行的程序的命令行参数? 108
Windows 10 上的假破碎像素 103