Estou usando o Chrome e o Chrome Sync; o Google tem acesso às minhas senhas?

33

Estou usando o Chrome (e o Chrome Sync) há muitos anos. Isso significa que o Google, proprietário do Chrome, conhece todas as minhas senhas?

Pergunto porque percebi que o Google é dono do Chrome e também é um navegador de código fechado, o que significa que pode haver algum tipo de backdoor que permita ao navegador coletar minhas senhas.

Além disso, é o mesmo caso com o Firefox?

google-chrome  security  passwords  privacy 
Selin Peck
fonte
Você não especificou se está fazendo login no seu navegador ou não. Se você não estiver acessando o Chrome, todas as configurações, senhas etc. serão salvas localmente e não na nuvem.
ernie 14/05
5
@ernie ele usa o Sync, portanto, não é todos os locais
Tim S.
4
O Google sabe tudo. Se o Google não conseguir encontrar algo, ele não existe ..;)
Sp0T 15/05

Respostas:

42

Resposta curta, sim. Se a sincronização estiver ativada e você optar por salvar uma senha, essa senha será enviada aos servidores do Google. Dito isto, os dados são criptografados e o acesso a eles é limitado.

Por padrão, o Google criptografa seus dados sincronizados usando as credenciais da sua conta . O Google indica que esses dados não podem ser descriptografados sem o conhecimento da sua senha e que, de fato, quando suas credenciais são alteradas, todos os dados sincronizados devem ser excluídos de seus sistemas e podem ser sincronizados novamente a partir de seus dispositivos (e no processo é criptografado com suas novas credenciais).

Portanto, se tudo estiver funcionando corretamente, o próprio Google pode ser confiável e a infraestrutura do Google é suficientemente segura para manter terceiros interessados ​​fora (leia NSA, hackers criminais etc.), então seus dados estão seguros. Dito isto, no entanto, o Google ainda tem a capacidade de descriptografar seus dados, embora eles não o façam saber. Isso é simplesmente o resultado de eles participarem da criação da chave de criptografia (suas credenciais), deixando-os em uma posição de salvar e potencialmente usar mal as chaves.

Esse nível de confiança é mais do que eu gostaria de colocar neles; portanto, nessa situação, eu escolheria não salvar senhas ou sincronizar dados com seus serviços, mas essa é apenas a minha preferência. Apenas um tolo confia em todos, mas apenas um tolo maior não confia em ninguém.

Frank Thomas
fonte
11
Vale ressaltar que a página vinculada diz: "Como alternativa, você pode optar por criptografar todos os seus dados sincronizados com uma senha de sincronização. Essa senha é armazenada no seu computador e não é enviada ao Google".
and31415 14/05
2
@FrankThomas: Eu não entendo. Você pode escolher sua própria senha ao sincronizar os dados. Isso significa que o Google não sabe a senha e, portanto, não pode descriptografar os dados ... não é?
Mehrdad 14/05
4
Usar o Google Chrome para quaisquer dados nos quais a NSA possa estar interessada é um erro horrível.
JonathanReez Suporta Monica
5
Sim, se você criptografar todos os dados sincronizados, o Google afirma que a operação ocorre inteiramente do lado do cliente; nesse caso, eles não poderão inferir a chave facilmente. Isso torna mais seguro, mas não seguro, por si só. Não temos idéia de qual cifra está sendo usada, se eles mantêm um hash da senha, se sua chave é a única etc. A lei dos EUA realmente não permite que um serviço mantenha dados criptografados que eles mesmos não podem acessar em resposta a um pedido de interceptação legal.
9788 Frank #
1
@FrankThomas, que lei é essa? Eu achava que a regra era que, se eu tenho a capacidade técnica para acessar o texto sem formatação, devo estar em conformidade, mas o armazenamento de blobs criptografados que não posso descriptografar não é ilegal de forma alguma.
Trintathreeforty
22

Depende das suas configurações de criptografia .

  • Criptografar senhas sincronizadas com suas credenciais do Google: esta é a opção padrão. Suas senhas salvas são criptografadas nos servidores do Google e protegidas com as credenciais da sua Conta do Google.

Com esta opção, o Google tem acesso aos seus dados.

  • Criptografe todos os dados sincronizados com sua própria senha de sincronização: selecione essa opção se desejar criptografar todos os dados que você escolheu sincronizar. Você pode fornecer sua própria senha que só será armazenada no seu computador.

Com esta opção, o Google não tem acesso aos seus dados, assumindo que eles estão sendo honestos sobre o que acontece com a sua senha (o que acontece se você esquecer sua senha deixa claro que eles não armazená-lo em seu benefício), não tem algum buraco (ou backdoor) na segurança de sincronização, e sua senha é segura o suficiente para suportar uma tentativa de força bruta do Google (essa senha é possível, mas muito atípica).

Você pode reduzir a oportunidade de o Google interceptar suas senhas usando um gerenciador de senhas offline como o KeePass em conjunto com o Chrome como seu navegador. Você pode remover a oportunidade completamente sem usar mais os produtos do Google (e se eles realmente incluíssem um keylogger no Google Drive ou Chrome? mesmo que suas senhas não sejam quebráveis).

Com o Firefox, a segurança dos seus dados depende da segurança da senha da sua conta do Firefox. Se você escolher uma boa senha, deve ser impossível para a Mozilla ou qualquer pessoa acessar suas senhas. No entanto, isso pressupõe que a Mozilla esteja sendo honesta sobre como o sistema funciona e que não há brechas (ou backdoor) em sua segurança. Você pode adicionar uma medida adicional de segurança executando seu próprio servidor Sync privado em vez de usar o Mozilla. Como o Firefox é de código aberto e o Mozilla tem um histórico melhor em relação à privacidade do que o Google , a probabilidade de eles tentarem comprometer seus dados parece muito menor.

Escolha seu nível de paranóia como quiser e com base em suas necessidades. Eu não usaria nada do Google para as necessidades no nível Snowden, mas para as necessidades de privacidade comum, eu usaria uma frase secreta no Google Sync no mínimo (para que um invasor que acesse sua Conta do Google tenha outra camada para passar antes que ele tem suas senhas).

Além disso, observe que tudo isso desaparece se alguém conseguir instalar um keylogger (talvez complementado por um raspador de tela e um gravador de cliques do mouse para combater teclados na tela) no seu PC.

Tim S.
fonte
1

Sua paranóia é bem justificada. Sim, o Google pode acessar suas senhas. Isso é verdade mesmo se você definiu uma senha personalizada, a menos que seja realmente aleatória, em vez de ser uma senha tipicamente escolhida por humanos. O motivo é que a abordagem usada pelo Chrome para converter essa senha em uma chave de criptografia (PBKDF2-HMAC-SHA1 fará 1003 iterações) é ridiculamente simples de usar. Não é necessário os recursos do Google, qualquer pessoa disposta a investir menos de US $ 1000 em uma placa gráfica pode adivinhar a maioria das senhas dentro de alguns dias. A implementação atual até falha em definir uma variável salt, o que permite adivinhar frases secretas para todas as contas em paralelo.

A implementação atual do Firefox Sync é consideravelmente melhor. Qualquer um que simplesmente acesse dados no servidor não poderá fazer muito com ele, a proteção é sensata. No entanto, no momento, o componente dessa proteção no lado do cliente é subótimo (PBKDF2-HMAC-SHA256 com 1000 iterações); portanto, qualquer pessoa que possa interceptar o hash da senha à medida que está sendo enviada ao servidor poderá adivinhar sua senha comparativamente. pouco esforço.

Informação adicional:

Wladimir Palant
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.