क्या Google कर्मचारी Google Chrome में सहेजे गए मेरे पासवर्ड देख सकते हैं?

मैं समझता हूं कि Google Chrome में अपने पासवर्ड सहेजने के लिए हम वास्तव में लुभा रहे हैं। संभावित लाभ दो गुना है,

• आपको उन लंबे और गुप्त पासवर्डों को इनपुट (याद करने और करने) की आवश्यकता नहीं है।
• ये उपलब्ध हैं जहां कभी आप अपने Google खाते में लॉग इन करते हैं।

आखिरी बिंदु ने मेरे संदेह को जगा दिया। चूंकि पासवर्ड कहीं भी उपलब्ध है , इसलिए भंडारण कुछ केंद्रीय स्थान पर होना चाहिए, और यह Google पर होना चाहिए।

अब, मेरा सरल प्रश्न है, क्या Google कर्मचारी मेरे पासवर्ड देख सकता है?

इंटरनेट पर खोज करने से कई लेख / संदेश सामने आए।

• क्या आप Chrome में पासवर्ड सहेजते हैं? हो सकता है कि आपको पुनर्विचार करना चाहिए : आपके पासवर्ड की चोरी किसी ऐसे व्यक्ति द्वारा की जा रही है जिसके पास आपके कंप्यूटर खाते की पहुंच है। केंद्रीय भंडारण सुरक्षा और भेद्यता के बारे में कुछ भी उल्लेख नहीं किया गया है। यहां तक ​​कि पहले मुद्दे के बारे में क्रोम ब्राउजर सिक्योरिटी टेक लीड की प्रतिक्रिया भी है।
• Chrome की पागल पासवर्ड सुरक्षा रणनीति : अधिकतर एक ही पंक्ति में। यदि आपके पास कंप्यूटर खाते तक पहुंच है, तो आप किसी से पासवर्ड चुरा सकते हैं।
• 5 सरल चरणों में Google क्रोम में सहेजे गए पासवर्ड कैसे चोरी करें : आपको सिखाता है कि वास्तव में पिछले दो में बताए गए कार्यों को कैसे करें जब आपके पास किसी और के खाते तक पहुंच हो।

कई और हैं ( इस साइट पर एक सहित ), ज्यादातर एक ही पंक्ति, अंक, काउंटर-पॉइंट, विशाल बहस के साथ। मैं यहां उनका उल्लेख करने से बचता हूं, यदि आप उन्हें ढूंढना चाहते हैं तो बस एक खोज करें।

मेरी मूल क्वेरी पर वापस आते हुए, क्या Google कर्मचारी मेरा पासवर्ड देख सकता है? चूंकि मैं एक साधारण बटन का उपयोग करके पासवर्ड देख सकता हूं, निश्चित रूप से एन्क्रिप्ट किए जाने पर भी वे अनहैश (डिक्रिप्ट) हो सकते हैं। यह यूनिक्स जैसे ओएस में सहेजे गए पासवर्ड से बहुत अलग है, जहां सहेजे गए पासवर्ड को सादे पाठ में कभी नहीं देखा जा सकता है।

वे आपके पासवर्ड को एन्क्रिप्ट करने के लिए वन-वे एन्क्रिप्शन एल्गोरिथ्म का उपयोग करते हैं। इस एन्क्रिप्टेड पासवर्ड को फिर पासवार्ड या शैडो फाइल में स्टोर किया जाता है। जब आप लॉगिन करने का प्रयास करते हैं, तो आपके द्वारा टाइप किया गया पासवर्ड फिर से एन्क्रिप्ट किया जाता है और आपके पासवर्ड को संग्रहीत करने वाली फ़ाइल में प्रविष्टि के साथ तुलना की जाती है। यदि वे मेल खाते हैं, तो यह एक ही पासवर्ड होना चाहिए, और आपको एक्सेस की अनुमति है। इस प्रकार, एक सुपरयुसर मेरा पासवर्ड बदल सकता है, मेरा खाता ब्लॉक कर सकता है, लेकिन वह कभी भी मेरा पासवर्ड नहीं देख सकता है।

संक्षिप्त उत्तर: नहीं ^*

आपके स्थानीय मशीन पर संग्रहीत पासवर्ड को क्रोम द्वारा डिक्रिप्ट किया जा सकता है, जब तक कि आपका ओएस उपयोगकर्ता खाता लॉग इन नहीं होता है। और फिर आप उन लोगों को सादे पाठ में देख सकते हैं। पहले तो यह भयानक लगता है, लेकिन आपने कैसे सोचा कि ऑटो-फिल काम किया है? जब वह पासवर्ड फ़ील्ड भर जाता है, तो Chrome को HTML फॉर्म एलिमेंट में असली पासवर्ड डालना होगा - या फिर पेज सही काम नहीं करेगा, और आप फॉर्म सबमिट नहीं कर सकते। और यदि वेबसाइट का कनेक्शन HTTPS से अधिक नहीं है, तो सादे पाठ को इंटरनेट पर भेजा जाता है। दूसरे शब्दों में, यदि क्रोम को सादे टेक्स्ट पासवर्ड नहीं मिल सकते हैं, तो वे पूरी तरह से बेकार हैं। एक तरह से हैश अच्छा नहीं है, क्योंकि हमें उनका उपयोग करने की आवश्यकता है।

अब पासवर्ड वास्तव में एन्क्रिप्टेड हैं, उन्हें सादे पाठ में वापस लाने का एकमात्र तरीका डिक्रिप्शन कुंजी है। वह कुंजी आपका Google पासवर्ड या द्वितीयक कुंजी है जिसे आप सेट कर सकते हैं। जब आप क्रोम में साइन इन करते हैं और Google सर्वर सिंक करते हैं तो एन्क्रिप्टेड पासवर्ड, सेटिंग्स, बुकमार्क, ऑटो-फिल इत्यादि को आपके स्थानीय मशीन में संचारित करेगा । यहां Chrome जानकारी को डिक्रिप्ट करेगा और इसका उपयोग करने में सक्षम होगा।

Google के अंत में वह सभी जानकारी उसके गुप्त अवस्था में संग्रहीत है, और उनके पास इसे डिक्रिप्ट करने की कुंजी नहीं है। Google में लॉग इन करने के लिए आपके खाते के पासवर्ड को हैश के विरुद्ध जांचा जाता है, और यहां तक ​​कि अगर आप क्रोम को इसे याद रखने देते हैं, तो एन्क्रिप्टेड संस्करण अन्य पासवर्ड के समान बंडल में छिपा हुआ है, जिसका उपयोग करना असंभव है। इसलिए एक कर्मचारी शायद एन्क्रिप्ट किए गए डेटा का एक डंप पकड़ सकता है, लेकिन यह उन्हें कोई भी अच्छा नहीं करेगा, क्योंकि उनके पास इसका उपयोग करने का कोई तरीका नहीं होगा। ^*

तो कोई Google के कर्मचारी नहीं कर सकते हैं ^** वे अपने सर्वर पर एन्क्रिप्टेड रहे हैं के बाद से अपने पासवर्ड का उपयोग,।

^{* हालांकि, यह मत भूलो कि एक अधिकृत उपयोगकर्ता द्वारा एक्सेस की जाने वाली किसी भी प्रणाली को एक अनधिकृत उपयोगकर्ता द्वारा एक्सेस किया जा सकता है। कुछ सिस्टम अन्य की तुलना में आसान होते हैं, लेकिन कोई भी फेल-प्रूफ नहीं होता है। । । कहा जा रहा है, मुझे लगता है कि मैं Google और उन लाखों लोगों पर भरोसा करूंगा, जो किसी भी अन्य पासवर्ड भंडारण समाधान पर सुरक्षा प्रणालियों पर खर्च करते हैं। और बिल्ली, मैं एक पागल हूँ, यह Google के एन्क्रिप्शन को तोड़ने की तुलना में मेरे से पासवर्ड को हरा देना आसान होगा ।}

^{** मैं यह भी मान रहा हूं कि ऐसा कोई व्यक्ति नहीं है जो सिर्फ आपके स्थानीय मशीन तक Google की पहुंच बनाने के लिए काम करता है। उस स्थिति में आप खराब हो जाते हैं, लेकिन Google में रोजगार वास्तव में कोई कारक नहीं है। Moral: हिट Win+ Lमशीन छोड़ने से पहले।}

वास्तव में, अधिकांश ब्राउज़र से आपके पासवर्ड पुनर्प्राप्त करना बहुत तुच्छ है। पागल पासवर्ड सुरक्षा लेख किसी ने लिखा था जो मुख्य रूप से सफारी का उपयोग करता है, और लगता है कि एचएएस सही तरीका है। यह अस्पष्टता से उपयोगकर्ता स्तर की सुरक्षा है। जो व्यक्ति इस मुद्दे को उठाता है, वह एक डेवलपर है जो मुख्य रूप से iOS, OS X और वेब डेवलपमेंट करता है, न कि सिक्योरिटी डेवलपमेंट, और आप Google के प्रतिवाद को भी पढ़ना चाहते हैं

विंडोज पर, Nirsoft का यह टूल हाथ से मुझे कई ब्राउज़रों से आपके सभी पासवर्ड को सूंघने देता है। यदि आपके सिस्टम में किसी की भौतिक पहुँच है, तो बहुत देर हो चुकी है।

और नहीं, यह संभावना नहीं है कि Google अपने कर्मचारियों को आपके पासवर्ड देखने की अनुमति देगा - ब्राउज़र का वास्तविक सिंक्रनाइज़ेशन हिस्सा एन्क्रिप्ट किया गया है - या तो अपने लॉगिन क्रेडेंशियल्स का उपयोग कर, या अपने स्वयं के पासफ़्रेज़ का उपयोग करें। Google के पास आपके पासवर्ड की एक अनएन्क्रिप्टेड कॉपी नहीं है। यह अच्छा अभ्यास है क्योंकि यह उक्त पासवर्डों के लीक को रोकता है, थोड़ा प्यार करने के लिए प्रलोभन देता है , और सरकारों से मांग करता है कि Google पासवर्ड सौंप दे। आप नहीं जानते कि आप क्या कर सकते हैं।

यदि आप वास्तव में चिंतित हैं, तो बस किसी तीसरे पक्ष के पासवर्ड प्रबंधक का उपयोग करें और इसे किसी भी तरह से सिंक करें जो आप पर भरोसा करते हैं, या मास्टर पासवर्ड के साथ कम सामान्य वेब ब्राउज़र (जो ये उपकरण समर्थन नहीं करते हैं) का उपयोग करते हैं। बहरहाल, तर्क है कि जिस दिन GPU त्वरित पासवर्ड क्रैकिंग उपलब्ध है , सादा पाठ पासवर्ड भंडारण बहुत उपयोगी नहीं है।

सैद्धांतिक रूप से नहीं। अधिक विवरण के लिए https://support.google.com/chrome/answer/1181035 देखें , लेकिन मूल रूप से आपके सिंक किए गए डेटा (पासवर्ड, बुकमार्क, इतिहास, आदि) Google के सर्वर पर भेजे जाने से पहले एन्क्रिप्ट किए गए हैं। एन्क्रिप्शन आपके Google खाते के पासवर्ड का उपयोग करता है, या एक अलग पासवर्ड जिसे आप केवल सिंक्रनाइज़ करने के उद्देश्य से चुनते हैं। हर समय उस पासवर्ड में टाइप किए बिना चीजों को सिंक करके रखने के लिए, सिंक पासवर्ड को आपके स्थानीय कंप्यूटर पर स्टोर करना होता है।

Google कर्मचारी को आपके पासवर्ड देखने के लिए (यह मानते हुए कि उनके पास आपकी स्थानीय मशीन तक पहुंच नहीं है), उन्हें Google खाता पासवर्ड या आपके सिंक पासवर्ड को जानना होगा। मुझे लगता है कि Google खाता पासवर्ड उनकी ओर से किसी न किसी प्रकार के हैशेड रूप में संग्रहीत किया जाता है, जिससे वे आपके सिंक किए गए डेटा को आसानी से डिक्रिप्ट नहीं कर पाएंगे।

बस स्पष्ट होने के लिए, जब क्रोम की बात आती है तो दो अलग-अलग पासवर्ड स्टोरेज समस्याएँ होती हैं। एक यह है कि पासवर्ड स्थानीय रूप से कैसे संग्रहीत किए जाते हैं, और आपके विभिन्न लिंक इस बारे में बात करते हैं कि कैसे उन पासवर्डों को आसानी से देखा जा सकता है यदि कोई आपके स्थानीय खाते तक पहुंच प्राप्त कर सकता है । दूसरा मुद्दा वह है जिसकी मैंने ऊपर चर्चा की है, अर्थात् कैसे पासवर्ड Google के सर्वरों तक भेजे जाते हैं, ताकि वे कई क्रोम प्रतिष्ठानों में उपलब्ध हो सकें।