Google 직원이 내 저장된 Google Chrome 비밀번호를 볼 수 있습니까?

can-google-employees-see-my-saved-google-chrome-passwords 사진 1

웹 브라우저에 비밀번호를 저장하면 시간을 절약할 수 있을 것 같지만, 비밀번호가 안전하고 다른 사람(브라우저 회사의 직원 포함)이 액세스할 수 없습니까?

오늘의 질문 및 답변 세션은 커뮤니티 주도의 Q&A 웹 사이트 그룹인 Stack Exchange의 하위 부문인 SuperUser의 호의로 이루어졌습니다.



질문

수퍼유저 리더 MMA는 Google 직원이 Google Chrome에 저장한 비밀번호에 액세스할 수 있는지(또는 액세스할 수 있는지) 궁금합니다.

나는 우리가 Google 크롬에 비밀번호를 저장하고 싶은 충동을 느낀다는 것을 이해합니다. 가능한 이점은 2배이며,

  • 길고 비밀스러운 암호를 (암기하고) 입력할 필요가 없습니다.
  • Google 계정에 로그인하면 어디에서나 사용할 수 있습니다.

마지막 요점은 나의 의심을 불러일으켰다. 비밀번호는 어디에서나 사용할 수 있으므로 저장소는 중앙 위치에 있어야 하며 Google에 있어야 합니다.

이제 간단한 질문은 Google 직원이 내 비밀번호를 볼 수 있습니까?

인터넷 검색을 통해 여러 기사/메시지를 발견했습니다.

  • Chrome에 비밀번호를 저장합니까? 다음을 재고해야 할 수도 있습니다. 귀하의 컴퓨터 계정에 액세스할 수 있는 누군가가 귀하의 비밀번호를 도난당했다는 이야기입니다. 중앙 저장소 보안 및 취약성에 대해 언급된 내용이 없습니다. 첫 번째 문제에 대한 Chrome 브라우저 보안 기술 책임자의 응답도 있습니다.
  • Chrome의 미친 비밀번호 보안 전략: 대부분 같은 맥락입니다. 컴퓨터 계정에 액세스할 수 있는 경우 다른 사람의 암호를 도용할 수 있습니다.
  • 간단한 5단계로 Chrome에 저장된 비밀번호를 훔치는 방법: 다른 사람의 계정에 액세스할 수 있을 때 앞의 두 단계에서 언급한 행위를 실제로 수행하는 방법을 알려줍니다.

이 사이트에 있는 이 항목을 포함하여 더 많은 것이 있으며 대부분 같은 맥락에서 요점, 반대 요점, 거대한 논쟁이 있습니다. 나는 여기에서 그것들을 언급하는 것을 삼가고, 당신이 그것들을 찾고 싶다면 간단히 검색하십시오.

원래 쿼리로 돌아가서 Google 직원이 내 비밀번호를 볼 수 있습니까? 간단한 버튼으로 비밀번호를 볼 수 있기 때문에, 암호화되어 있어도 확실히 해싱(복호화)이 가능합니다. 이것은 저장된 비밀번호가 일반 텍스트로 볼 수 없는 유닉스 계열 OS에 저장된 비밀번호와 매우 다릅니다.

그들은 단방향 암호화 알고리즘을 사용하여 암호를 암호화합니다. 이 암호화된 암호는 passwd 또는 shadow 파일에 저장됩니다. 로그인을 시도하면 입력한 암호가 다시 암호화되어 암호를 저장하는 파일의 항목과 비교됩니다. 일치하는 경우 동일한 암호여야 하며 액세스가 허용됩니다. 따라서 수퍼유저는 내 비밀번호를 변경하고 내 계정을 차단할 수 있지만 내 비밀번호는 절대 볼 수 없습니다.

그렇다면 그의 우려는 근거가 충분합니까, 아니면 약간의 통찰력이 그의 걱정을 없앨까요?

대답

수퍼유저 기고자 Zeel은 마음을 편하게 하는 데 도움을 줍니다.

짧은 대답: 아니오*

로컬 시스템에 저장된 비밀번호는 OS 사용자 계정이 로그인되어 있는 한 Chrome에서 해독할 수 있습니다. 그러면 일반 텍스트로 볼 수 있습니다. 처음에는 이것이 끔찍해 보이지만 자동 채우기가 어떻게 작동한다고 생각했습니까? 비밀번호 필드가 채워지면 Chrome은 실제 비밀번호를 HTML 양식 요소에 삽입해야 합니다. 그렇지 않으면 페이지가 제대로 작동하지 않고 양식을 제출할 수 없습니다. 웹 사이트에 대한 연결이 HTTPS를 통해 이루어지지 않은 경우 일반 텍스트가 인터넷을 통해 전송됩니다. 즉, 크롬이 일반 텍스트 비밀번호를 얻을 수 없다면 완전히 쓸모가 없습니다. 단방향 해시는 사용해야 하기 때문에 좋지 않습니다.

이제 암호는 실제로 암호화되어 있으며 암호를 일반 텍스트로 되돌릴 수 있는 유일한 방법은 암호 해독 키를 사용하는 것입니다. 해당 키는 Google 비밀번호 또는 설정할 수 있는 보조 키입니다. Chrome에 로그인하고 동기화하면 Google 서버가 암호화된 비밀번호, 설정, 북마크, 자동 완성 등을 로컬 컴퓨터로 전송합니다. 여기에서 Chrome은 정보를 해독하고 사용할 수 있습니다.

Google은 모든 정보가 암호화된 상태로 저장되며 암호를 해독할 키가 없습니다. 귀하의 계정 비밀번호는 Google에 로그인하기 위해 해시와 대조되며, 크롬이 이를 기억하게 하여도 암호화된 버전은 다른 비밀번호와 동일한 번들에 숨겨져 액세스가 불가능합니다. 따라서 직원은 암호화된 데이터의 덤프를 가져올 수 있지만 사용할 방법이 없기 때문에 아무 소용이 없습니다.*

따라서 아니오, Google 직원은 서버에서 암호화되어 있으므로 귀하의 비밀번호에 액세스할 수 없습니다**.

* 단, 인가된 사용자가 접근할 수 있는 시스템은 인가되지 않은 사용자가 접근할 수 있음을 잊지 마십시오. 일부 시스템은 다른 시스템보다 파손되기 쉽지만 어느 것도 실패하지 않습니다. . . 그렇긴 하지만 저는 다른 비밀번호 저장 솔루션보다 Google과 보안 시스템에 지출하는 수백만 달러를 신뢰할 것이라고 생각합니다. 그리고 젠장, 나는 멍청한 괴짜입니다. Google의 암호화를 깨는 것보다 암호를 없애는 것이 더 쉬울 것입니다.

** 또한 우연히 Google에 근무하여 로컬 컴퓨터에 액세스할 수 있는 사람이 없다고 가정합니다. 이 경우 당신은 망했지만 Google에서의 고용은 실제로 더 이상 요인이 아닙니다. 도덕: 기계를 떠나기 전에 Win + L을 누르십시오.

귀하의 비밀번호가 Chrome에 저장되어 있는 동안 실제로 안전하다는 것은 (컴퓨터가 손상되지 않는 한) 꽤 안전한 내기라는 zeel의 의견에 동의하지만, 우리는 모든 로그인 및 비밀번호를 LastPass 금고에 암호화하는 것을 선호합니다.