Estoy usando Chrome y Chrome Sync; ¿Google tiene acceso a mis contraseñas?

He estado usando Chrome (y Chrome Sync) durante muchos años. ¿Eso significa que Google, el propietario de Chrome, conoce todas mis contraseñas?

Pregunto porque me di cuenta de que Google posee Chrome, y también, es un navegador de código cerrado, lo que significa que podría haber algún tipo de puerta trasera que permita al navegador recopilar mis contraseñas.

Además, ¿es el mismo caso con Firefox?

— Selin Peck
fuente

No ha especificado si está iniciando sesión en su navegador o no. Si no está iniciando sesión en Chrome, la configuración, las contraseñas, etc., se guardan localmente y no en la nube.

— ernie

@ernie usa Sync, por lo que no todo es local

— Tim S.

Google lo sabe todo. Si Google no puede encontrar algo, entonces no existe ...;)

— Sp0T

Respuestas:

Respuesta corta, si. Si la sincronización está habilitada y opta por guardar una contraseña, esa contraseña se enviará a los servidores de Google. Dicho esto, los datos están encriptados y el acceso a ellos es limitado.

De forma predeterminada, Google cifra sus datos sincronizados utilizando las credenciales de su cuenta . Google indica que estos datos no se pueden descifrar sin el conocimiento de su contraseña y que, de hecho, cuando cambian sus credenciales, todos los datos sincronizados deben eliminarse de sus sistemas y luego pueden volver a sincronizarse desde sus dispositivos (y en el proceso es reencriptado con sus nuevas credenciales).

Entonces, si todo funciona correctamente, se puede confiar en Google, y la infraestructura de Google es lo suficientemente segura como para mantener alejados a terceros interesados (lea NSA, piratas informáticos, etc.), entonces sus datos están seguros. Dicho esto, sin embargo, Google todavía tiene la capacidad de descifrar sus datos, aunque no lo dan a conocer. Esto es simplemente el resultado de ser parte de la creación de la clave de cifrado (sus credenciales), dejándolos en una posición para guardar y potencialmente mal usar las claves.

Este nivel de confianza es más de lo que quisiera depositar en ellos, por lo que en esta situación, elegiría no guardar contraseñas o sincronizar datos con sus servicios, pero esa es solo mi preferencia. Solo un tonto confía en todos, pero solo un tonto más grande no confía en nadie.

— Frank Thomas
fuente

Vale la pena mencionar que la página vinculada dice: "Alternativamente, puede optar por cifrar todos sus datos sincronizados con una frase de contraseña de sincronización. Esta frase de contraseña de sincronización se almacena en su computadora y no se envía a Google".

— y31415

@ FrankThomas: No lo entiendo. Puede elegir su propia frase de contraseña al sincronizar los datos. Eso significa que Google no conoce la frase de contraseña y, por lo tanto, no puede descifrar los datos ... ¿no?

— Mehrdad

El uso de Google Chrome para cualquier información que le interese a la NSA es un error horrible.

— JonathanReez

Sí, si encripta todos los datos que sincroniza, Google afirma que la operación se realiza completamente del lado del cliente, en cuyo caso no podrán inferir la clave fácilmente. Eso lo hace más seguro, pero no seguro, per se. No tenemos idea de qué cifrado está en uso, si mantienen un hash de la contraseña, si su clave es la única, etc. La ley de los Estados Unidos realmente no permite que un servicio contenga datos cifrados a los que ellos mismos no pueden acceder en respuesta a Una solicitud de intercepción legal.

— Frank Thomas

@FrankThomas, ¿qué ley es esa? Pensé que la regla era que si tengo la capacidad técnica para acceder a su texto sin formato, entonces debo cumplir, pero que el almacenamiento de blobs cifrados que no puedo descifrar no es ilegal de ninguna manera.

— treinta

Depende de su configuración de cifrado .

Cifre las contraseñas sincronizadas con sus credenciales de Google: esta es la opción predeterminada. Sus contraseñas guardadas están encriptadas en los servidores de Google y protegidas con las credenciales de su cuenta de Google.

Con esta opción, Google tiene acceso a sus datos.

Cifre todos los datos sincronizados con su propia frase de contraseña de sincronización: seleccione esta opción si desea cifrar todos los datos que ha elegido sincronizar. Puede proporcionar su propia frase de contraseña que solo se almacenará en su computadora.

Con esta opción, Google no tiene acceso a sus datos, suponiendo que sean honestos sobre lo que sucede con su frase de contraseña (lo que sucede si olvida su frase de contraseña deja en claro que no la almacenan para su beneficio), no tiene algún agujero enorme (o puerta trasera) en su seguridad de sincronización, y su frase de contraseña es lo suficientemente segura como para resistir un intento de fuerza bruta por parte de Google (dicha contraseña es posible, pero muy atípica).

Puede reducir la oportunidad de que Google intercepte sus contraseñas utilizando un administrador de contraseñas sin conexión como KeePass junto con Chrome como su navegador. Puede eliminar la oportunidad por completo si ya no usa los productos de Google (¿y si realmente incluyeran un keylogger con Google Drive o Chrome? Y con Gmail, las solicitudes de restablecimiento de contraseña podrían ser interceptadas de una forma u otra, lo que podría resultar en que Google acceda a sus cuentas, incluso si tus contraseñas son indescifrables).

Con Firefox, la seguridad de sus datos depende de cuán segura sea la contraseña de su cuenta de Firefox. Si elige una buena contraseña, debería ser imposible para Mozilla o cualquier persona acceder a sus contraseñas. Sin embargo, esto supone que Mozilla está siendo honesto acerca de cómo funciona el sistema, y que no hay un vacío (o puerta trasera) en su seguridad. Puede agregar una medida de seguridad adicional ejecutando su propio servidor privado de sincronización en lugar de usar el de Mozilla. Dado que Firefox es de código abierto y Mozilla tiene un mejor historial de privacidad que Google , la probabilidad de que intenten comprometer sus datos parece mucho menor.

Elija su nivel de paranoia como desee y según sus necesidades. No usaría nada de Google para las necesidades de nivel de Snowden, pero para las necesidades de privacidad ordinarias, iría con una frase de contraseña en Google Sync como mínimo (para que un atacante que acceda a su cuenta de Google tenga otra capa para pasar antes de que él tiene tus contraseñas).

Además, tenga en cuenta que todo esto desaparece si alguien logra instalar un keylogger (tal vez complementado por un raspador de pantalla y un registrador de clic del mouse para combatir los teclados en pantalla) en su PC.

— Tim S.
fuente

Tu paranoia está bien justificada. Sí, Google puede acceder a sus contraseñas. Eso es incluso cierto si definió una frase de contraseña personalizada, a menos que esa frase de contraseña sea verdaderamente aleatoria en lugar de ser una contraseña típica elegida por humanos. La razón es que el enfoque utilizado por Chrome para convertir esa frase de contraseña en una clave de cifrado (PBKDF2-HMAC-SHA1 tendrá 1003 iteraciones) es ridículamente simple de fuerza bruta. No requiere los recursos de Google, cualquiera que esté dispuesto a invertir menos de $ 1000 en una tarjeta gráfica puede adivinar la mayoría de las contraseñas en unos pocos días. La implementación actual incluso falla al establecer una sal variable, lo que permite adivinar frases de contraseña para todas las cuentas en paralelo.

La implementación actual de Firefox Sync es considerablemente mejor. Cualquiera que simplemente acceda a datos en el servidor no podrá hacer mucho con él, la protección es sensata. Sin embargo, el componente del lado del cliente de esa protección es actualmente subóptimo (PBKDF2-HMAC-SHA256 con 1000 iteraciones), por lo que cualquiera que pueda interceptar el hash de la contraseña mientras se envía al servidor podrá adivinar su contraseña de manera comparable pequeño esfuerzo.

Información Adicional:

— Wladimir Palant
fuente