ChromeとChrome Syncを使用しています。Googleはパスワードにアクセスできますか?


33

私は何年もの間Chrome(およびChrome Sync)を使用しています。それは、Chromeの所有者であるGoogleがすべてのパスワードを知っているということですか?

GoogleがChromeを所有していること、そしてそれがクローズドソースブラウザーであることに気付いたので、私は尋ねます。

また、Firefoxでも同じですか?


ブラウザにログインするかどうかを指定していません。Chromeにサインインしていない場合、設定やパスワードなどはクラウドではなくローカルに保存されます。
アーニー

5
それはすべてのローカルではありませんので、彼はSyncを使用しています@ernie
ティム・S.

4
Googleはすべてを知っています。Googleが何かを見つけられない場合、それは存在しません。;)
Sp0T

回答:


42

短い答え、はい。同期が有効で、パスワードを保存することを選択した場合、そのパスワードはGoogleのサーバーに送信されます。ただし、データは暗号化されており、データへのアクセスは制限されています。

デフォルトでは、Googleはアカウント認証情報を使用して同期データを暗号化します。Googleは、パスワードを知らないとこのデータを復号化できず、実際、資格情報が変更された場合、同期されたすべてのデータをシステムから削除する必要があり、その後デバイスから再同期できることを示しています新しい資格情報で再暗号化されます)。

したがって、すべてが正常に機能していれば、Google自体が信頼でき、Googleのインフラストラクチャは、関心のある第三者(NSA、犯罪ハッカーなど)を締め出すのに十分な安全性を備えています。ただし、Googleにはデータを解読する機能はありますが、データを解読することはできません。これは単に、暗号キー(資格情報)の作成者であり、キーを保存し、キーを誤用する可能性があるためです。

このレベルの信頼は、私が彼らに置きたい以上のものです。したがって、この状況では、パスワードを保存したり、サービスにデータを同期したりしませんが、それは私の好みです。誰もが愚か者だけを信頼しますが、大きな愚か者だけが誰も信頼しません。


11
リンクされたページには、「代わりに、同期パスフレーズですべての同期データを暗号化することを選択できます。この同期パスフレーズはコンピューターに保存され、Googleには送信されません。」
and31415

2
@FrankThomas:わかりません。データを同期するときに、独自のパスフレーズを選択できます。これは、Googleがパスフレーズを知らないため、データを解読できないことを意味します。
Mehrdad

4
NSAが関心を持つ可能性のあるデータにGoogle Chromeを使用することは、恐ろしい間違いです。
JonathanReezは

5
はい、同期するすべてのデータを暗号化すると、Googleは操作が完全にクライアント側で行われると述べています。その場合、キーを簡単に推測することはできません。それはそれをより安全にしますが、それ自体は安全ではありません。どの暗号が使用されているか、パスワードのハッシュを維持するかどうか、キーが唯一のものかどうかなどはわかりません。合法的傍受リクエスト。
フランクトーマス

1
@FrankThomas、それはどんな法律ですか?私は、平文にアクセスする技術的能力があれば、従わなければならないというルールだと思ったが、解読できない暗号化されたブロブのストレージは決して違法ではない。
33

22

暗号化設定に依存します。

  • Googleの認証情報で同期パスワードを暗号化する:これはデフォルトのオプションです。保存したパスワードはGoogleのサーバーで暗号化され、Googleアカウントの資格情報で保護されます。

このオプションを使用すると、Googleはデータにアクセスできます。

  • 同期されたすべてのデータを独自の同期パスフレーズで暗号化する:同期するように選択したすべてのデータを暗号化する場合は、これを選択します。コンピューターにのみ保存される独自のパスフレーズを提供できます。

このオプションでは、パスフレーズで何が起こるかについて正直であると仮定すると、Googleはあなたのデータにアクセスできません(パスフレーズを忘れるとどうなりますか?同期セキュリティにいくつかの大きな穴(またはバックドア)があり、パスフレーズはGoogleによるブルートフォース攻撃に耐えるほど安全です(このようなパスワードは可能ですが、非常に特殊です)。

KeePassなどのオフラインパスワードマネージャーをブラウザとしてChromeと組み合わせて使用すると、Googleがパスワードを傍受する機会を減らすことができます。Google製品を使用しなくても、この機会を完全に削除できます(キーロガーが実際にGoogleドライブまたはChromeにバンドルされている場合はどうでしょうか。パスワードが解読できない場合でも)。

Firefoxでは、データのセキュリティは、Firefoxアカウントのパスワードの安全性にかかっています。適切なパスワードを選択した場合、Mozillaまたは他のユーザーがパスワードにアクセスすることは不可能です。ただし、これは、Mozillaがシステムの動作について正直であり、セキュリティに大きな穴(またはバックドア)がないことを前提としています。Mozillaを使用する代わりに、独自のプライベートSync サーバーを実行することにより、セキュリティの手段を追加できます。Firefoxはオープンソースであり、Mozilla Googleよりもプライバシーに関して優れた実績があるため、データを侵害しようとする可能性ははるかに低いようです。

必要に応じて、必要に応じてパラノイアレベルを選択します。SnowdenレベルのニーズにはGoogleを使用しませんが、通常のプライバシーのニーズには、少なくともGoogle Syncのパスフレーズを使用します(したがって、Googleアカウントにアクセスする攻撃者は、別のレイヤーを通過してから、パスワードがあります)。

また、PCにキーロガー(スクリーンスクレーパーとマウスクリックレコーダーで補完してスクリーンキーボードと戦うこともできます)をインストールすると、これらすべてがウィンドウから消えることに注意してください。


1

あなたの妄想は正当化されます。はい、Googleはパスワードにアクセスできます。カスタムパスフレーズを定義した場合でも、そのパスフレーズが典型的な人間が選択したパスワードではなく真にランダムでない限り、それは真実です。その理由は、Chromeがそのパスフレーズを暗号化キー(PBKDF2-HMAC-SHA1は1003回の繰り返し)に変換するために使用するアプローチは、ブルートフォースに途方もなく簡単です。Googleのリソースは必要ありません。グラフィックカードに1000ドル未満の投資を希望する人は、数日以内にほとんどのパスワードを推測できます。現在の実装では、変数saltの設定に失敗しているため、すべてのアカウントのパスフレーズを同時に推測できます。

現在のFirefox Syncの実装はかなり優れています。サーバー上のデータにアクセスするだけでは、多くのことを実行できません。保護は正気です。ただし、その保護のクライアント側のコンポーネントは現在最適ではない(1000回の反復でPBKDF2-HMAC-SHA256)ため、サーバーに送信されているパスワードハッシュを傍受できる人は誰でも比較的にパスワードを推測できます少しの努力。

追加情報:

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.