Ich verwende Chrome und Chrome Sync. hat Google Zugriff auf meine Passwörter?

33

Ich verwende Chrome (und Chrome Sync) seit vielen Jahren. Bedeutet das, dass Google, der Inhaber von Chrome, alle meine Passwörter kennt?

Ich frage, weil mir klar geworden ist, dass Google Chrome besitzt und es sich auch um einen Closed-Source-Browser handelt. Dies bedeutet, dass es eine Art Hintertür geben kann, über die der Browser meine Passwörter sammeln kann.

Ist es bei Firefox auch so?

google-chrome  security  passwords  privacy 
Selin Peck
quelle
Sie haben nicht angegeben, ob Sie sich bei Ihrem Browser anmelden oder nicht. Wenn Sie sich nicht bei Chrome anmelden, werden Einstellungen, Kennwörter usw. nur lokal und nicht in der Cloud gespeichert.
ernie
5
@ernie er verwendet Sync, es ist also nicht alles lokal
Tim S.
4
Google weiß alles. Wenn Google etwas nicht finden kann, existiert es nicht.;)
Sp0T

Antworten:

42

Kurze Antwort, ja. Wenn die Synchronisierung aktiviert ist und Sie sich dafür entscheiden, ein Passwort zu speichern, wird dieses Passwort an die Server von Google gesendet. Allerdings sind die Daten verschlüsselt und der Zugriff darauf ist beschränkt.

Standardmäßig verschlüsselt Google Ihre synchronisierten Daten mit Ihren Kontoanmeldeinformationen . Google weist darauf hin, dass diese Daten ohne Kenntnis Ihres Passworts nicht entschlüsselt werden können. Wenn sich Ihre Anmeldeinformationen ändern, müssen alle synchronisierten Daten von ihren Systemen gelöscht werden und können dann von Ihren Geräten erneut synchronisiert werden neu mit Ihren neuen Zugangsdaten verschlüsselt).

Wenn also alles korrekt funktioniert, Google selbst vertrauenswürdig ist und die Google-Infrastruktur ausreichend sicher ist, um interessierte Dritte fernzuhalten (NSA, kriminelle Hacker usw. lesen), sind Ihre Daten sicher. Trotzdem hat Google immer noch die Möglichkeit, Ihre Daten zu entschlüsseln, obwohl diese nicht bekannt gegeben werden. Dies ist einfach darauf zurückzuführen, dass sie an der Erstellung des Chiffrierschlüssels (Ihrer Anmeldeinformationen) beteiligt sind und diese in die Lage versetzen, die Schlüssel zu speichern und möglicherweise zu missbrauchen.

Diese Vertrauensstufe ist mehr, als ich ihnen zutrauen möchte. In dieser Situation würde ich mich dafür entscheiden, keine Passwörter zu speichern oder Daten mit ihren Diensten zu synchronisieren, aber das ist nur meine Präferenz. Nur ein Narr vertraut allen, aber nur ein größerer Narr vertraut niemandem.

Frank Thomas
quelle
11
Es ist erwähnenswert, dass auf der verlinkten Seite Folgendes steht: "Alternativ können Sie alle Ihre synchronisierten Daten mit einer Synchronisierungs-Passphrase verschlüsseln. Diese Synchronisierungs-Passphrase wird auf Ihrem Computer gespeichert und nicht an Google gesendet."
And31415
2
@FrankThomas: Ich verstehe es nicht. Sie können Ihre eigene Passphrase auswählen, wenn Sie die Daten synchronisieren. Das bedeutet, dass Google die Passphrase nicht kennt und daher die Daten nicht entschlüsseln kann, oder?
Mehrdad
4
Die Verwendung von Google Chrome für alle Daten, an denen die NSA interessiert sein könnte, ist ein schrecklicher Fehler.
JonathanReez unterstützt Monica
5
Ja, wenn Sie alle Daten verschlüsseln, die Sie synchronisieren, gibt Google an, dass der Vorgang vollständig clientseitig erfolgt. In diesem Fall können sie den Schlüssel nicht einfach ableiten. Das macht es sicherer, aber an sich nicht sicher. Wir haben keine Ahnung, welche Verschlüsselung verwendet wird, ob sie einen Hash des Passworts verwaltet, ob Ihr Schlüssel der einzige ist usw. Nach US-amerikanischem Recht darf ein Dienst keine verschlüsselten Daten speichern, auf die sie selbst als Antwort nicht zugreifen können eine rechtmäßige Intercept-Anfrage.
Frank Thomas
1
@FrankThomas, welches Gesetz ist das? Ich dachte, die Regel wäre, dass ich mich an die technischen Voraussetzungen halten muss, um auf ihren Klartext zuzugreifen, aber dass das Speichern von verschlüsselten Blobs, die ich nicht entschlüsseln kann, in keiner Weise illegal ist.
dreißigunddreißig
22

Dies hängt von Ihren Verschlüsselungseinstellungen ab .

  • Synchronisierte Kennwörter mit Ihren Google-Anmeldeinformationen verschlüsseln: Dies ist die Standardoption. Ihre gespeicherten Passwörter werden auf den Servern von Google verschlüsselt und mit Ihren Anmeldeinformationen für das Google-Konto geschützt.

Mit dieser Option hat Google Zugriff auf Ihre Daten.

  • Verschlüsseln Sie alle synchronisierten Daten mit Ihrer eigenen Synchronisierungs-Passphrase: Wählen Sie diese Option, wenn Sie alle Daten verschlüsseln möchten, die Sie für die Synchronisierung ausgewählt haben. Sie können eine eigene Passphrase eingeben, die nur auf Ihrem Computer gespeichert wird.

Mit dieser Option hat Google keinen Zugriff auf Ihre Daten, sofern sie ehrlich sind, was mit Ihrer Passphrase geschieht (was passiert, wenn Sie Ihre Passphrase vergessen, macht deutlich, dass sie sie nicht zu Ihrem Vorteil speichern) Einige Lücken (oder Hintertüren) in der Sicherheit der Synchronisierung, und Ihre Passphrase ist sicher genug, um einem Brute-Force-Versuch von Google standzuhalten (ein solches Passwort ist möglich, aber sehr untypisch).

Sie können die Möglichkeit verringern, dass Google Ihre Passwörter abfängt, indem Sie einen Offline-Passwort-Manager wie KeePass in Verbindung mit Chrome als Browser verwenden. Sie können die Möglichkeit ganz aufheben, indem Sie Google-Produkte nicht mehr verwenden (was ist, wenn sie wirklich einen Keylogger mit Google Drive oder Chrome enthalten?). Mit Google Mail können Anforderungen zum Zurücksetzen von Passwörtern auf die eine oder andere Weise abgefangen werden, was möglicherweise dazu führt, dass Google auf Ihre Konten zugreift. auch wenn Ihre Passwörter nicht zu knacken sind).

Bei Firefox hängt die Sicherheit Ihrer Daten von der Sicherheit Ihres Firefox-Kontokennworts ab. Wenn Sie ein gutes Passwort wählen, sollte es für Mozilla oder jemanden unmöglich sein, auf Ihre Passwörter zuzugreifen. Dies setzt jedoch voraus, dass Mozilla ehrlich ist, wie das System funktioniert, und dass es keine Lücke (oder Hintertür) in ihrer Sicherheit gibt. Sie können eine zusätzliche Sicherheitsmaßnahme hinzufügen, indem Sie Ihren eigenen privaten Sync- Server ausführen, anstatt Mozillas zu verwenden. Da Firefox Open Source ist und Mozilla in Bezug auf den Datenschutz eine bessere Erfolgsgeschichte vorweisen kann als Google, scheint die Wahrscheinlichkeit, dass sie versuchen , Ihre Daten zu gefährden, viel geringer zu sein.

Wählen Sie Ihren Paranoia-Level ganz nach Ihren Wünschen. Ich würde Google nicht für Anforderungen auf Snowden-Ebene verwenden, aber für normale Datenschutzanforderungen würde ich mindestens eine Passphrase für Google Sync verwenden (damit ein Angreifer, der auf Ihr Google-Konto zugreift, über eine andere Ebene verfügt, die er durchdringen kann) hat deine Passwörter).

Beachten Sie auch, dass all dies aus dem Fenster verschwindet, wenn jemand es schafft, einen Keylogger (möglicherweise ergänzt durch einen Bildschirmschaber und einen Mausklick-Rekorder zur Bekämpfung von Bildschirmtastaturen) auf Ihrem PC zu installieren.

Tim S.
quelle
1

Ihre Paranoia ist gerechtfertigt. Ja, Google kann auf Ihre Passwörter zugreifen. Dies gilt sogar, wenn Sie eine benutzerdefinierte Passphrase definiert haben, es sei denn, diese Passphrase ist wirklich zufällig und kein von Menschen gewähltes Kennwort. Grund dafür ist, dass der von Chrome verwendete Ansatz, diese Passphrase in einen Verschlüsselungsschlüssel (PBKDF2-HMAC-SHA1 wird 1003 Iterationen) zu konvertieren, auf lächerliche Weise einfach zu bruteforce ist. Die Ressourcen von Google werden nicht beansprucht. Jeder, der bereit ist, weniger als 1000 US-Dollar in eine Grafikkarte zu investieren, kann die meisten Passwörter innerhalb weniger Tage erraten. Die aktuelle Implementierung kann sogar keine Variable salt festlegen, mit der Passphrasen für alle Konten parallel erraten werden können.

Die aktuelle Implementierung von Firefox Sync ist erheblich besser. Jeder, der nur auf Daten auf dem Server zugreift, kann nicht viel damit anfangen, der Schutz ist vernünftig. Die clientseitige Komponente dieses Schutzes ist derzeit jedoch nicht optimal (PBKDF2-HMAC-SHA256 mit 1000 Iterationen), sodass jeder, der den an den Server gesendeten Kennwort-Hash abfangen kann, Ihr Kennwort mit vergleichbar erraten kann geringer Aufwand.

Zusätzliche Information:

Wladimir Palant
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.