मैं क्रोम और क्रोम सिंक का उपयोग कर रहा हूं; क्या Google के पास मेरे पासवर्ड हैं?

मैं कई सालों से क्रोम (और क्रोम सिंक) का उपयोग कर रहा हूं। क्या इसका मतलब है कि Google, Chrome का स्वामी, मेरे सभी पासवर्ड जानता है?

मैं पूछता हूं क्योंकि मुझे एहसास हुआ कि Google क्रोम का मालिक है, और यह भी, यह एक बंद स्रोत ब्राउज़र है, जिसका अर्थ है कि कुछ प्रकार का बैकडोर हो सकता है जो ब्राउज़र को मेरे पासवर्ड एकत्र करने की अनुमति देता है।

इसके अलावा, यह फ़ायरफ़ॉक्स के साथ एक ही मामला है?

संक्षिप्त उत्तर, हाँ। यदि सिंक सक्षम है, और आप पासवर्ड सहेजने का विकल्प चुनते हैं, तो वह पासवर्ड Google के सर्वर पर भेज दिया जाएगा। उस ने कहा, डेटा एन्क्रिप्ट किया गया है, और इस तक पहुंच सीमित है।

डिफ़ॉल्ट रूप से, Google आपके खाता क्रेडेंशियल्स का उपयोग करके आपके सिंक किए गए डेटा को एन्क्रिप्ट करता है । Google इंगित करता है कि इस डेटा को आपके पासवर्ड के ज्ञान के बिना डिक्रिप्ट नहीं किया जा सकता है, और वास्तव में, जब आपके क्रेडेंशियल्स बदलते हैं, तो सभी सिंक किए गए डेटा को उनके सिस्टम से हटा दिया जाना चाहिए, और फिर आपके डिवाइस से फिर से सिंक किया जा सकता है (और इस प्रक्रिया में) अपने नए क्रेडेंशियल्स के साथ पुनः एन्क्रिप्टेड)।

इसलिए, यदि सब कुछ सही ढंग से काम कर रहा है, तो Google को खुद पर भरोसा किया जा सकता है, और रुचि रखने वाले तीसरे पक्षों को बाहर रखने के लिए Google के बुनियादी ढांचे को पर्याप्त रूप से सुरक्षित किया गया है (एनएसए, आपराधिक हैकर्स, आदि पढ़ें) तो आपका डेटा सुरक्षित है। हालाँकि, Google ने अभी भी आपके डेटा को डिक्रिप्ट करने की क्षमता रखी है, हालाँकि वे इस बात से परिचित नहीं हैं। यह बस उन्हें सिफर कुंजी (आपके क्रेडेंशियल्स) के निर्माण के लिए पार्टी होने का नतीजा है, जिससे उन्हें कुंजी को बचाने और संभावित दुरुपयोग करने की स्थिति में छोड़ दिया जाता है।

विश्वास का यह स्तर उन लोगों की तुलना में अधिक है जो मैं उनमें रखना चाहता हूं, इसलिए इस स्थिति में, मैं पासवर्डों को सहेजने या उनकी सेवाओं के लिए डेटा सिंक करने का विकल्प नहीं चुनूंगा, लेकिन यह सिर्फ मेरी प्राथमिकता है। केवल एक मूर्ख व्यक्ति सभी पर भरोसा करता है, लेकिन केवल एक बड़ा मूर्ख किसी पर भरोसा नहीं करता है।

यह आपकी एन्क्रिप्शन सेटिंग्स पर निर्भर करता है ।

• अपने Google क्रेडेंशियल के साथ समन्वित पासवर्ड एन्क्रिप्ट करें: यह डिफ़ॉल्ट विकल्प है। आपके सहेजे गए पासवर्ड Google के सर्वर पर एन्क्रिप्ट किए गए हैं और आपके Google खाता क्रेडेंशियल्स के साथ संरक्षित हैं।

इस विकल्प के साथ, Google के पास आपके डेटा तक पहुंच है।

• अपने समन्वयन पासफ़्रेज़ के साथ सभी सिंक किए गए डेटा को एन्क्रिप्ट करें: यदि आप सिंक के लिए चुने गए सभी डेटा को एन्क्रिप्ट करना चाहते हैं, तो इसे चुनें। आप अपना स्वयं का पासफ़्रेज़ प्रदान कर सकते हैं जो केवल आपके कंप्यूटर पर संग्रहीत किया जाएगा।

इस विकल्प के साथ, Google के पास आपके डेटा तक पहुंच नहीं है, यह मानते हुए कि वे आपके पासफ़्रेज़ के साथ क्या होता है, इसके बारे में ईमानदार हैं (यदि आप अपने पासफ़्रेज़ को भूल जाते हैं तो क्या होता है, यह स्पष्ट करता है कि वे इसे आपके लाभ के लिए संग्रहीत नहीं करते हैं), आपके पास नहीं है उनकी सिंक सुरक्षा में कुछ गैपिंग होल (या पिछले दरवाजे), और आपका पासफ़्रेज़ Google द्वारा एक क्रूर बल प्रयास का सामना करने के लिए पर्याप्त सुरक्षित है (ऐसा पासवर्ड संभव है, लेकिन बहुत ही असामान्य है)।

आप अपने ब्राउज़र के रूप में क्रोम के साथ संयोजन के रूप में KeePass जैसे ऑफ़लाइन पासवर्ड मैनेजर का उपयोग करके Google को अपने पासवर्ड को बाधित करने का अवसर कम कर सकते हैं । आप Google उत्पादों का उपयोग करके अब पूरी तरह से अवसर को निकाल सकते हैं (यदि वे वास्तव में Google ड्राइव या क्रोम के साथ एक keylogger को बंडल करते हैं? और जीमेल के साथ, पासवर्ड रीसेट अनुरोधों को एक या दूसरे तरीके से इंटरसेप्ट किया जा सकता है, जिसके परिणामस्वरूप Google आपके खातों तक पहुंच सकता है, यहां तक ​​कि अगर आपके पासवर्ड भी नायाब हैं)।

फ़ायरफ़ॉक्स के साथ, आपके डेटा की सुरक्षा इस बात पर निर्भर करती है कि आपका फ़ायरफ़ॉक्स अकाउंट पासवर्ड कितना सुरक्षित है। यदि आप एक अच्छा पासवर्ड चुनते हैं, तो मोज़िला या किसी को भी आपके पासवर्ड तक पहुंचना असंभव है। हालाँकि, इससे यह धारणा बनती है कि मोज़िला ईमानदार है कि सिस्टम कैसे काम करता है, और उनकी सुरक्षा में कोई अंतराल छेद (या पिछले दरवाजे) नहीं है। आप मोज़िला का उपयोग करने के बजाय अपना निजी सिंक सर्वर चलाकर सुरक्षा का एक अतिरिक्त उपाय जोड़ सकते हैं । के बाद से Firefox मुक्त स्रोत है और मोज़िला एक बेहतर है गोपनीयता के बारे में ट्रैक रिकॉर्ड गूगल की तुलना में करता है, उनमें से संभावना की कोशिश कर अपने डेटा समझौता करने में अब तक कम लगती है।

अपनी इच्छानुसार अपने व्यामोह का स्तर चुनें, और अपनी आवश्यकताओं के आधार पर। स्नोडेन-स्तर की जरूरतों के लिए मैं कुछ भी Google का उपयोग नहीं करूंगा, लेकिन साधारण-गोपनीयता की जरूरतों के लिए, मैं Google सिंक पर एक न्यूनतम पर पासफ़्रेज़ के साथ जाऊंगा (ताकि आपके Google खाते तक पहुंचने वाले एक हमलावर के पास इससे पहले आने के लिए एक और परत हो। आपके पासवर्ड हैं)।

इसके अलावा, ध्यान दें कि यह सब खिड़की से बाहर चला जाता है यदि कोई भी आपके पीसी पर एक कीलॉगर (शायद स्क्रीन स्क्रैपर और माउस क्लिक रिकॉर्डर से निपटने के लिए पूरक हो) स्थापित करने का प्रबंधन करता है।

आपका व्यामोह अच्छी तरह से उचित है। हां, Google आपके पासवर्ड तक पहुंच सकता है। यदि आप एक कस्टम पासफ़्रेज़ को परिभाषित करते हैं, तो यह भी सही है, जब तक कि पासफ़्रेज़ एक सामान्य मानव-चयनित पासवर्ड होने के बजाय वास्तव में यादृच्छिक न हो। कारण, Chrome द्वारा उस पासफ़्रेज़ को एन्क्रिप्शन कुंजी (PBKDF2-HMAC-SHA1 1003 पुनरावृत्तियों) में परिवर्तित करने के लिए उपयोग किया जाने वाला तरीका हास्यास्पद रूप से सरल है। यह Google के संसाधनों को नहीं लेता है, कोई भी ग्राफिक्स कार्ड में 1000 डॉलर से कम का निवेश करने को तैयार है, कुछ दिनों के भीतर अधिकांश पासवर्ड का अनुमान लगा सकता है। वर्तमान कार्यान्वयन एक चर नमक सेट करने में भी विफल रहता है, जो समानांतर में सभी खातों के लिए पासफ़्रेज़ का अनुमान लगाने की अनुमति देता है।

वर्तमान फ़ायरफ़ॉक्स सिंक कार्यान्वयन काफी बेहतर है। सर्वर पर डेटा तक पहुंचने वाला कोई भी व्यक्ति इसके साथ पूरी तरह से नहीं कर पाएगा, सुरक्षा समझदार है। उस सुरक्षा का क्लाइंट-साइड घटक वर्तमान में सबटॉफ़िमल है (1000 पुनरावृत्तियों के साथ PBKDF2-HMAC-SHA256), इसलिए कोई भी व्यक्ति जो पासवर्ड हैश को इंटरसेप्ट करने में सक्षम है, क्योंकि इसे सर्वर पर भेजा जा रहा है, आप अपने पासवर्ड का अनुमान लगाने में सक्षम होंगे। मामूली कोशिश।

अतिरिक्त जानकारी:

• विषय पर मेरा ब्लॉग पोस्ट
• क्रोमियम अंक 820976
• मोज़िला बग 1320222