J'utilise Chrome (et Chrome Sync) depuis de nombreuses années. Est-ce que cela signifie que Google, le propriétaire de Chrome, connaît tous mes mots de passe?
Je pose la question parce que je me suis rendu compte que Google est propriétaire de Chrome et qu’il s’agit également d’un navigateur à code source fermé, ce qui signifie qu’il pourrait exister une sorte de porte dérobée permettant au navigateur de collecter mes mots de passe.
Aussi, est-ce le même cas avec Firefox?
google-chrome
security
passwords
privacy
Selin Peck
la source
la source
Réponses:
Réponse courte, oui. Si la synchronisation est activée et que vous choisissez d'enregistrer un mot de passe, ce mot de passe sera envoyé aux serveurs de Google. Cela dit, les données sont cryptées et leur accès est limité.
Par défaut, Google chiffre vos données synchronisées à l'aide des informations d'identification de votre compte . Google indique que ces données ne peuvent pas être déchiffrées sans connaître votre mot de passe. En fait, lorsque vos informations d'identification changent, toutes les données synchronisées doivent être supprimées de leurs systèmes et peuvent ensuite être resynchronisées à partir de vos appareils (et en cours de traitement). rechiffré avec les nouvelles informations d'identification).
Ainsi, si tout fonctionne correctement, on peut faire confiance à Google et si l'infrastructure de Google est suffisamment sécurisée pour empêcher les tiers intéressés (lire NSA, pirates informatiques, etc.), vos données sont en sécurité. Cela dit, Google a toujours la capacité de déchiffrer vos données, bien que cela ne soit pas connu. Ceci est simplement le résultat de leur participation à la création de la clé de chiffrement (vos identifiants), les laissant ainsi en mesure de sauvegarder et de potentiellement utiliser les clés à mauvais escient.
Ce niveau de confiance est supérieur à ce que je voudrais leur accorder. Dans cette situation, je choisirais donc de ne pas enregistrer les mots de passe ou les données de synchronisation sur leurs services, mais ce n'est que ma préférence. Seul un imbécile fait confiance à tout le monde, mais seul un plus gros imbécile ne fait confiance à personne.
la source
Cela dépend de vos paramètres de cryptage .
Avec cette option, Google a accès à vos données.
Avec cette option, Google n'a pas accès à vos données, à condition qu'elles soient honnêtes à propos de l'utilisation de votre phrase secrète (ce qui se produit si vous oubliez votre phrase secrète indique clairement qu'elles ne la stockent pas à votre avantage), ne le faites pas. un trou béant (ou une porte dérobée) dans leur sécurité de synchronisation, et votre phrase secrète est suffisamment sécurisée pour résister à une tentative de force brute de Google (un tel mot de passe est possible, mais très atypique).
Vous pouvez réduire la possibilité pour Google d'intercepter vos mots de passe en utilisant un gestionnaire de mots de passe hors connexion tel que KeePass, associé à Chrome comme navigateur. Vous pouvez entièrement supprimer cette opportunité en n'utilisant plus les produits Google (que faire s'ils combinaient réellement un enregistreur de frappe avec Google Drive ou Chrome? Et avec Gmail, les demandes de réinitialisation de mot de passe pourraient être interceptées d'une manière ou d'une autre, ce qui pourrait permettre à Google d'accéder à vos comptes, même si vos mots de passe sont inviolables).
Avec Firefox, la sécurité de vos données dépend du niveau de sécurité du mot de passe de votre compte Firefox. Si vous choisissez un bon mot de passe, il devrait être impossible pour Mozilla ou qui que ce soit d’accéder à vos mots de passe. Cependant, cela suppose que Mozilla est honnête sur le fonctionnement du système et qu'il n'y a pas de trou béant (ou de porte dérobée) dans leur sécurité. Vous pouvez ajouter une mesure de sécurité supplémentaire en exécutant votre propre serveur de synchronisation privé au lieu d'utiliser celui de Mozilla. Étant donné que Firefox est une source ouverte et que Mozilla a un meilleur bilan en matière de confidentialité que Google , la probabilité qu’ils tentent de compromettre vos données semble bien moindre.
Choisissez votre niveau de paranoïa comme vous le souhaitez et en fonction de vos besoins. Je n'utiliserais rien de Google pour les besoins de niveau Snowden, mais pour les besoins de confidentialité ordinaires, j'utiliserais au minimum une phrase secrète sur Google Sync (afin qu'un attaquant accédant à votre compte Google ait une autre couche à franchir avant de passer à l'action. a vos mots de passe).
Notez également que tout ceci disparaît si quelqu'un réussit à installer un enregistreur de frappe (éventuellement complété par un grattoir d'écran et un enregistreur de clic de souris pour lutter contre les claviers à l'écran) sur votre PC.
la source
Votre paranoïa est bien justifiée. Oui, Google peut accéder à vos mots de passe. Cela est même vrai si vous définissez une phrase secrète personnalisée, à moins que cette phrase secrète soit réellement aléatoire plutôt que d'être un mot de passe choisi par l'homme. La raison en est que l'approche utilisée par Chrome pour convertir cette phrase secrète en une clé de chiffrement (PBKDF2-HMAC-SHA1 sera 1003 itérations) est ridiculement simple à utiliser brutalement. Cela ne prend pas les ressources de Google, quiconque souhaitant investir moins de 1 000 dollars dans une carte graphique peut deviner la plupart des mots de passe en quelques jours. L'implémentation actuelle ne parvient même pas à définir une variable salt, ce qui permet de deviner les phrases secrètes pour tous les comptes en parallèle.
L’implémentation actuelle de Firefox Sync est considérablement meilleure. Quiconque accédera simplement aux données sur le serveur ne pourra pas en faire beaucoup, la protection est saine. Cependant, le composant côté client de cette protection est actuellement sous-optimal (PBKDF2-HMAC-SHA256 avec 1 000 itérations), ainsi toute personne pouvant intercepter le mot de passe haché lors de son envoi au serveur pourra deviner votre mot de passe de manière comparable. Peu d'effort.
Information additionnelle:
la source