Google従業員はGoogle Chromeに保存されたパスワードを見ることができますか？

Google Chromeにパスワードを保存したいという気持ちが本当に強いことを理解しています。考えられる利点は2つあります。

• これらの長くて暗号化されたパスワードを（記憶して）入力する必要はありません。
• これらは、Googleアカウントにログインすると、どこにいても利用できます。

最後の点は私の疑問を引き起こしました。パスワードはどこでも利用できるため、ストレージは中央の場所にある必要があり、これはGoogleにある必要があります。

さて、私の簡単な質問は、Googleの従業員が私のパスワードを見ることができるかどうかです。

インターネットで検索すると、いくつかの記事/メッセージが見つかりました。

• Chromeにパスワードを保存しますか？多分あなたは再考する必要があります：あなたのコンピュータアカウントにアクセスできる誰かによってあなたのパスワードが盗まれるという話。中央ストレージのセキュリティと脆弱性については何も言及されていません。最初の問題については、Chromeブラウザーのセキュリティテクニカルリードからも返答があります。
• Chromeの非常識なパスワードセキュリティ戦略：ほとんどが同じ方針です。コンピューターアカウントにアクセスできる場合、誰かからパスワードを盗むことができます。
• 5つの簡単な手順でGoogle Chromeに保存されたパスワードを盗む方法：他の人のアカウントにアクセスできるときに、前の2つで述べた行為を実際に実行する方法を教えます。

このサイトにあるものを含め、もっと多くのことがあります。ほとんどが同じ線、ポイント、カウンターポイント、大きな議論に沿っています。ここでそれらについて言及することは控えます。もしあなたがそれらを見つけたいなら、単に検索を続けてください。

元のクエリに戻ると、Googleの従業員は私のパスワードを見ることができますか？シンプルなボタンを使用してパスワードを表示できるため、暗号化されていても、確実にハッシュ化（復号化）できます。これは、UnixライクなOSで保存されたパスワードとは大きく異なり、保存されたパスワードはプレーンテキストで見ることができません。

一方向暗号化アルゴリズムを使用して、パスワードを暗号化します。この暗号化されたパスワードは、passwdまたはshadowファイルに保存されます。ログインしようとすると、入力したパスワードは再び暗号化され、パスワードを保存するファイルのエントリと比較されます。一致する場合は、同じパスワードである必要があり、アクセスが許可されます。したがって、スーパーユーザーはパスワードを変更したり、アカウントをブロックしたりできますが、パスワードを見ることができません。

短い答え：いいえ^*

OSユーザーアカウントにログインしている限り、ローカルマシンに保存されているパスワードはChromeで復号化できます。その後、プレーンテキストで表示できます。最初はこれは恐ろしいように思えますが、自動入力はどのように機能すると思いましたか？そのパスワードフィールドに入力すると、Chromeは実際のパスワードをHTMLフォーム要素に挿入する必要があります。そうしないと、ページが正しく機能せず、フォームを送信できませんでした。また、Webサイトへの接続がHTTPS経由でない場合、プレーンテキストがインターネット経由で送信されます。言い換えれば、クロムがプレーンテキストのパスワードを取得できない場合、それらはまったく役に立ちません。一方向ハッシュは使用する必要があるため、良くありません。

現在、パスワードは実際には暗号化されています。パスワードをプレーンテキストに戻す唯一の方法は、復号化キーを取得することです。そのキーは、Googleのパスワード、または設定可能なセカンダリキーです。Chromeにログインして同期すると、Googleサーバーは暗号化されたパスワード、設定、ブックマーク、自動入力などをローカルマシンに送信します。ここで、Chromeは情報を解読し、使用できるようになります。

Google側では、その情報はすべて暗号化された状態で保存されており、解読するためのキーはありません。アカウントのパスワードは、Googleにログインするためにハッシュと照合され、Chromeに記憶させても、その暗号化されたバージョンは他のパスワードと同じバンドルに隠されており、アクセスできません。したがって、従業員はおそらく暗号化されたデータのダンプを取得できますが、それを使用する方法がないため、それらは何の役にも立ちません。^*

いいえ、Googleの従業員はサーバー上で暗号化されているため、^**パスワードにアクセスできません。

^{*ただし、許可されたユーザーがアクセスできるシステムには、許可されていないユーザーもアクセスできることを忘れないでください。一部のシステムは他のシステムよりも簡単に壊れますが、フェイルプルーフではありません。。。そうは言っても、他のパスワードストレージソリューションよりも、Googleと彼らがセキュリティシステムに費やしている数百万を信頼すると思います。そして、一体、私は弱虫オタクだけど、しやすいだろう破ったブレークGoogleの暗号化よりも、私の外にパスワードを。}

^{**また、ローカルマシンにアクセスするためにGoogleでたまたま働いている人はいないと思います。その場合、あなたは夢中になりますが、Googleでの雇用は実際にはもはや要因ではありません。教訓：ヒットWin+ Lマシンを離れる前に。}

実際、ほとんどのブラウザからパスワードを取得するのは非常に簡単です。非常識なパスワードセキュリティの記事は、主にSafariを使用している人によって書かれており、HASが正しい方法だと考えているようです。これは、あいまいさによるユーザーレベルのセキュリティです。この問題を提起したのは、セキュリティ開発ではなく、主にiOS、OS X、およびWeb開発を行う開発者であり、Googleの反論も読むことをお勧めします。

Windowsでは、Nirsoftのこのツールを使用すると、複数のブラウザからすべてのパスワードを簡単に取得できます。誰かがシステムに物理的にアクセスできる場合、手遅れです。

いいえ、ログイン資格情報または独自のパスフレーズのいずれかを使用して、Googleが従業員にパスワードの表示を許可することはほとんどありません（ブラウザの実際の同期部分は暗号化されます）。Google自体には、暗号化されていないパスワードのコピーはありません。これは、前述のパスワードの漏洩、ちょっとしたloveintを行う誘惑、およびGoogleがパスワードを引き渡すことを政府に要求することを防ぐため、良い習慣です。知らないことをタトルすることはできません。

本当に心配な場合は、サードパーティのパスワードマネージャーを使用して、信頼できる方法で同期するか、あまり一般的でないWebブラウザー（これらのツールではサポートされていません）をマスターパスワードで使用してください。それでも、プレーンテキストのパスワード保存は、GPUで加速されたパスワードクラッキングが利用できる日に、あまり役に立たないという議論があります。

理論的にはそうではありません。詳細についてはhttps://support.google.com/chrome/answer/1181035をご覧ください。ただし、基本的に同期されたデータ（パスワード、ブックマーク、履歴など）は、Googleのサーバーに送信される前に暗号化されます。暗号化では、Googleアカウントのパスワード、または同期のためだけに選択した別のパスワードを使用します。常にそのパスワードを入力せずに同期を維持するには、ローカルコンピューターに同期パスワードを保存する必要があります。

Googleの従業員がパスワードを確認するには（ローカルマシンにアクセスできないと仮定）、Googleアカウントのパスワードまたは同期パスワードを知っている必要があります。Googleアカウントのパスワードは、それらの側に何らかのハッシュ形式で保存されているため、同期されたデータを簡単に解読することはできません。

明確にするために、Chromeには2つの異なるパスワードストレージの問題があります。1つは、パスワードがローカルに保存される方法です。さまざまなリンクは、誰かがあなたのローカルアカウントにアクセスできる場合にそれらのパスワードを簡単に表示する方法について説明します。もう1つの問題は、上記で説明したことです。つまり、パスワードをGoogleのサーバーに送信して、複数のChromeインストールでパスワードを使用できるようにする方法です。