Os funcionários do Google podem ver minhas senhas salvas no Google Chrome?

Resposta curta: Não ^*

As senhas armazenadas na sua máquina local podem ser descriptografadas pelo Google Chrome, contanto que sua conta de usuário do sistema operacional esteja conectada. E você poderá visualizá-las em texto simples. No começo isso parece horrível, mas como você acha que o preenchimento automático funcionou? Quando esse campo de senha é preenchido, o Chrome deve inserir a senha real no elemento de formulário HTML - ou a página não funcionará corretamente e você não poderá enviar o formulário. E se a conexão com o site não for via HTTPS, o texto simples será enviado pela Internet. Em outras palavras, se o Chrome não puder obter as senhas em texto simples, elas serão totalmente inúteis. Um hash unidirecional não é bom, porque precisamos usá-los.

Agora, as senhas são, de fato, criptografadas, a única maneira de obtê-las de volta ao texto simples é ter a chave de descriptografia. Essa chave é sua senha do Google ou uma chave secundária que você pode configurar. Quando você faz login no Google Chrome e sincroniza, os servidores do Google transmitem as senhas, configurações, favoritos, preenchimento automático criptografados para sua máquina local. Aqui, o Google Chrome decifrará as informações e poderá usá-las.

No final do Google, todas essas informações são armazenadas em seu estado encriptado e não têm a chave para descriptografá-las. A senha da sua conta é verificada em relação a um hash para fazer login no Google e, mesmo que você deixe o chrome lembrá-lo, essa versão criptografada fica oculta no mesmo pacote das outras senhas, impossível de acessar. Então, um funcionário provavelmente poderia pegar um despejo dos dados criptografados, mas isso não os faria bem, já que eles não teriam como usá-los. ^*

Portanto, os funcionários do Google não podem acessar suas senhas, pois elas são criptografadas em seus servidores.

^{* No entanto, não esqueça que qualquer sistema que possa ser acessado por um usuário autorizado pode ser acessado por um usuário não autorizado. Alguns sistemas são mais fáceis de quebrar do que outros, mas nenhum é à prova de falhas. . . Dito isso, acredito que confiarei no Google e nos milhões que eles gastam em sistemas de segurança, em relação a qualquer outra solução de armazenamento de senhas. E diabos, eu sou um nerd fracote, seria mais fácil bater as senhas fora de mim do que quebrar a criptografia do Google.}

^{** Eu também estou assumindo que não há uma pessoa que simplesmente trabalhe para o Google ter acesso à sua máquina local. Nesse caso, você está ferrado, mas o emprego no Google não é mais um fator. Moral: Atinge Win + L antes de sair da máquina.}

Na verdade, é bastante trivial recuperar suas senhas da maioria dos navegadores. O artigo de segurança de senha insana foi escrito por alguém que usa principalmente o Safari e parece achar que é o caminho certo. Isso é segurança no nível do usuário por obscuridade. A pessoa que trouxe a questão é um desenvolvedor que faz principalmente iOS, OS X e desenvolvimento web, não desenvolvimento de segurança, e você pode querer ler contra-ataque do Google também

No Windows, esta ferramenta da Nirsoft permite-me facilmente guardar todas as suas senhas de vários navegadores. Se alguém tiver acesso físico ao seu sistema, é tarde demais.

E não, é improvável que o Google permita que seus funcionários vejam suas senhas - a parte real de sincronização do navegador é criptografada - usando suas credenciais de login ou sua própria senha. O Google, como tal, não possui uma cópia não criptografada de sua senha. É uma boa prática, pois evita vazamentos das senhas, a tentação de fazer um pouco de loveint e dos governos para exigir que o Google entregue as senhas. Você não pode tagarelar sobre o que não sabe.

Se você estiver realmente preocupado, basta usar um gerenciador de senhas de terceiros e sincronizá-lo da maneira que confia, ou usar um navegador da Web menos comum (que essas ferramentas não suportam) com uma senha mestra. No entanto, o argumento de que o armazenamento de senhas de texto simples não é muito útil no dia em que a GPU acelerou o processo. quebra de senha está disponível.

Teoricamente não. Consulte o link para obter mais detalhes, mas basicamente seus dados sincronizados (senhas, favoritos, histórico, etc.) são criptografados antes eles são enviados para os servidores do Google. A criptografia usa a senha da sua conta do Google ou uma senha separada que você escolhe apenas para fins de sincronização. Para manter as coisas sincronizadas sem ter que digitar essa senha o tempo todo, a senha de sincronização precisa ser armazenada em seu computador local.

Para que um funcionário do Google veja suas senhas (supondo que elas não tenham acesso à sua máquina local), elas precisam saber a senha da conta do Google ou a senha de sincronização. Eu suponho que a senha da conta do Google esteja armazenada em algum tipo de formulário com hash do lado deles, de modo que não permitiria que eles descriptografassem seus dados sincronizados.

Só para esclarecer, há dois problemas distintos de armazenamento de senha quando se trata do Chrome. Uma é como as senhas são armazenadas localmente, e seus vários links falam sobre como essas senhas podem ser facilmente visualizadas se alguém puder obter acesso à sua conta local . A outra questão é o que eu discuti acima, ou seja, como as senhas são enviadas para os servidores do Google, para que elas possam estar disponíveis em várias instalações do Chrome.