Le stockage de vos mots de passe dans votre navigateur Web semble vous faire gagner beaucoup de temps, mais les mots de passe sont-ils sécurisés et inaccessibles aux autres (même aux employés de la société de navigation) lorsqu’ils sont échappés?

La séance de questions-réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web de questions-réponses.

La question

Le lecteur SuperUser MMA est curieux de savoir si les employés de Google ont (ou pourraient avoir) accès aux mots de passe qu’il stocke dans Google Chrome:

Je comprends que nous sommes vraiment tentés de sauvegarder nos mots de passe dans Google Chrome. L’avantage probable est double,

  • Vous n’avez pas besoin (de mémoriser et) de saisir ces mots de passe longs et cryptés.
  • Ceux-ci sont disponibles où que vous soyez une fois que vous vous connectez à votre compte Google.

Le dernier point a suscité mon doute. Puisque le mot de passe est disponible nulle part, le stockage doit se trouver dans un emplacement central, et cela devrait être chez Google.

Maintenant, ma question est simple: un employé de Google peut-il voir mes mots de passe?

La recherche sur Internet a révélé plusieurs articles / messages.

  • Enregistrez-vous les mots de passe dans Chrome? Vous devriez peut-être reconsidérer: Parle du vol de vos mots de passe par quelqu’un qui a accès à votre compte d’ordinateur. Rien n’est mentionné sur la sécurité et la vulnérabilité du stockage central. Il y a même une réponse du responsable technique de la sécurité du navigateur Chrome concernant le premier problème.
  • Stratégie de sécurité insensée de Chrome pour les mots de passe: essentiellement dans le même sens. Vous pouvez voler le mot de passe de quelqu’un si vous avez accès au compte d’ordinateur.
  • Comment voler des mots de passe enregistrés dans Google Chrome en 5 étapes simples: vous apprend comment effectuer acte mentionné dans les deux précédents lorsque vous avez accès au compte de quelqu’un d’autre.

Il y en a beaucoup plus (dont celui-ci à ce site), le plus souvent sur la même ligne, des points, des contre-points, d’énormes débats. Je m’abstiens de les mentionner ici, effectuez simplement une recherche si vous voulez les trouver.

Pour revenir à ma requête d’origine, un employé de Google peut-il voir mon mot de passe? Étant donné que je peux afficher le mot de passe à l’aide d’un simple bouton, il peut certainement être déchaîné (décrypté) même s’il est crypté. Ceci est très différent des mots de passe enregistrés dans les systèmes d’exploitation de type Unix où le mot de passe enregistré ne peut jamais être vu en texte brut.

Ils utilisent un algorithme de cryptage unidirectionnel pour crypter vos mots de passe. Ce mot de passe crypté est ensuite stocké dans le fichier passwd ou shadow. Lorsque vous essayez de vous connecter, le mot de passe que vous saisissez est à nouveau crypté et comparé à l’entrée dans le fichier qui stocke vos mots de passe. S’ils correspondent, il doit s’agir du même mot de passe et vous êtes autorisé à y accéder. Ainsi, un superutilisateur peut changer mon mot de passe, peut bloquer mon compte, mais il ne peut jamais voir mon mot de passe.

Ses préoccupations sont-elles donc bien fondées ou un petit aperçu dissipera-t-il son inquiétude?

La réponse

Le contributeur de SuperUser Zeel aide à mettre son esprit à l’aise:

Réponse courte: Non *

Les mots de passe stockés sur votre ordinateur local peuvent être déchiffrés par Chrome, tant que votre compte utilisateur OS est connecté. Et vous pouvez ensuite les afficher en texte brut. Au début, cela semble horrible, mais comment pensez-vous que le remplissage automatique a fonctionné? Lorsque ce champ de mot de passe est rempli, Chrome doit insérer le vrai mot de passe dans l’élément de formulaire HTML, sinon la page ne fonctionnerait pas correctement et vous ne pourriez pas envoyer le formulaire. Et si la connexion au site Web n’est pas via HTTPS, le texte brut est ensuite envoyé sur Internet. En d’autres termes, si Chrome ne peut pas obtenir les mots de passe en texte brut, ils sont totalement inutiles. Un hachage à sens unique n’est pas bon, car nous devons les utiliser.

Maintenant, les mots de passe sont en fait cryptés, la seule façon de les récupérer en texte brut est d’avoir la clé de décryptage. Cette clé est votre mot de passe Google ou une clé secondaire que vous pouvez configurer. Lorsque vous vous connectez à Chrome et que vous synchronisez, les serveurs Google transmettent le crypté mots de passe, paramètres, signets, remplissage automatique, etc., sur votre ordinateur local. Ici, Chrome décryptera les informations et pourra les utiliser.

Du côté de Google, toutes ces informations sont stockées dans leur état crypté, et ils n’ont pas la clé pour les décrypter. Le mot de passe de votre compte est comparé à un hachage pour vous connecter à Google, et même si vous laissez Chrome s’en souvenir, cette version chiffrée est cachée dans le même ensemble que les autres mots de passe, impossible d’accès. Un employé pourrait donc probablement récupérer une copie des données chiffrées, mais cela ne leur serait d’aucune utilité, car il n’aurait aucun moyen de l’utiliser. *

Donc non, les employés de Google ne peuvent pas ** accéder à vos mots de passe, car ils sont cryptés sur leurs serveurs.

* Cependant, n’oubliez pas que tout système auquel peut accéder un utilisateur autorisé peut être consulté par un utilisateur non autorisé. Certains systèmes sont plus faciles à casser que d’autres, mais aucun n’est à l’épreuve des pannes. . . Cela dit, je pense que je ferai confiance à Google et aux millions qu’ils dépensent pour les systèmes de sécurité, par rapport à toute autre solution de stockage de mots de passe. Et diable, je suis un nerd wimpy, il serait plus facile de me battre les mots de passe que de briser le cryptage de Google.

** Je suppose également qu’aucune personne qui travaille pour Google n’a accès à votre machine locale. Dans ce cas, vous êtes foutu, mais l’emploi chez Google n’est plus vraiment un facteur. Moral: Hit Gagner + L avant de quitter la machine.

Bien que nous soyons d’accord avec Zeel sur le fait que c’est un pari assez sûr (tant que votre ordinateur n’est pas compromis) que vos mots de passe sont en fait sûrs lorsqu’ils sont stockés dans Chrome, nous préférons crypter toutes nos connexions et mots de passe dans un coffre-fort LastPass.


Vous avez quelque chose à ajouter à l’explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d’autres utilisateurs de Stack Exchange avertis en technologie? Consultez le fil de discussion complet ici.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici