আমি ক্রোম এবং ক্রোম সিঙ্ক ব্যবহার করছি; গুগল আমার পাসওয়ার্ড অ্যাক্সেস আছে?

আমি বহু বছর ধরে ক্রোম (এবং ক্রোম সিঙ্ক) ব্যবহার করছি। এর অর্থ কি গুগল, ক্রোমের মালিক, আমার সমস্ত পাসওয়ার্ড জানেন?

আমি জিজ্ঞাসা করেছি কারণ আমি বুঝতে পেরেছিলাম যে গুগল ক্রোমের মালিক, এবং এছাড়াও এটি একটি বদ্ধ উত্স ব্রাউজার, যার অর্থ এমন কোনও ধরণের ব্যাকডোর থাকতে পারে যা ব্রাউজারকে আমার পাসওয়ার্ড সংগ্রহ করতে দেয়।

এছাড়াও, ফায়ারফক্সের ক্ষেত্রেও কি একই অবস্থা রয়েছে?

সংক্ষিপ্ত উত্তর, হ্যাঁ যদি সিঙ্ক সক্ষম থাকে এবং আপনি কোনও পাসওয়ার্ড সংরক্ষণ করতে বেছে নেন, সেই পাসওয়ার্ডটি Google এর সার্ভারগুলিতে প্রেরণ করা হবে। এটি বলেছিল যে ডেটা এনক্রিপ্ট করা হয়েছে এবং এতে অ্যাক্সেস সীমাবদ্ধ।

ডিফল্টরূপে, গুগল আপনার অ্যাকাউন্ট শংসাপত্রগুলি ব্যবহার করে আপনার সিঙ্ক হওয়া ডেটা এনক্রিপ্ট করে । গুগল ইঙ্গিত করে যে আপনার পাসওয়ার্ডের জ্ঞান ছাড়াই এই ডেটাটি ডিক্রিপ্ট করা যাবে না এবং বাস্তবে যখন আপনার শংসাপত্রগুলি পরিবর্তন হয়, সমস্ত সিঙ্ক হওয়া ডেটা অবশ্যই তাদের সিস্টেম থেকে মুছে ফেলা হবে এবং তারপরে আপনার ডিভাইসগুলি থেকে পুনরায় সিঙ্ক করা যেতে পারে (এবং প্রক্রিয়াটিতে রয়েছে) আপনার নতুন শংসাপত্রগুলির সাথে পুনরায় এনক্রিপ্ট করা)।

সুতরাং, যদি সবকিছু সঠিকভাবে কাজ করে থাকে তবে গুগল নিজেরাই বিশ্বাসযোগ্য হতে পারে এবং আগ্রহী তৃতীয় পক্ষগুলি বাইরে রাখার জন্য গুগল অবকাঠামো যথেষ্ট সুরক্ষিত (এনএসএ, অপরাধী হ্যাকার ইত্যাদি পড়ুন) তবে আপনার ডেটা নিরাপদ। এটি বলেছিল, তবে, গুগলের এখনও আপনার ডেটা ডিক্রিপ্ট করার ক্ষমতা রয়েছে, যদিও তারা তা জানা থাকে না। এটি কেবল সিফার কী (আপনার শংসাপত্রগুলি) তৈরির পক্ষে অংশীদার হওয়ার ফলস্বরূপ, সেগুলি সংরক্ষণের অবস্থানে রেখে এবং সম্ভাব্যভাবে কীগুলি অপব্যবহার করে।

এই স্তরের আস্থা আমি তাদের মধ্যে রাখার চেয়ে বেশি, তাই এই পরিস্থিতিতে আমি তাদের পরিষেবাদিতে পাসওয়ার্ড বা ডেটা সিঙ্ক না করা বেছে নেব, তবে এটি কেবল আমার পছন্দ। কেবল একজন বোকা সবাইকে বিশ্বাস করে তবে কেবল বড় বোকা কাউকে বিশ্বাস করে না।

এটি আপনার এনক্রিপশন সেটিংসের উপর নির্ভর করে ।

• আপনার Google শংসাপত্রগুলির সাথে সিঙ্ক হওয়া পাসওয়ার্ডগুলি এনক্রিপ্ট করুন: এটি ডিফল্ট বিকল্প। আপনার সংরক্ষিত পাসওয়ার্ডগুলি গুগলের সার্ভারগুলিতে এনক্রিপ্ট করা এবং আপনার Google অ্যাকাউন্ট শংসাপত্রগুলির দ্বারা সুরক্ষিত।

এই বিকল্পের সাহায্যে গুগলের আপনার ডেটাতে অ্যাক্সেস রয়েছে।

• আপনার নিজস্ব সিঙ্ক পাসফ্রেজের সাথে সমস্ত সিঙ্ক হওয়া ডেটা এনক্রিপ্ট করুন: আপনি সিঙ্ক করার জন্য বেছে নেওয়া সমস্ত ডেটা এনক্রিপ্ট করতে চাইলে এটি নির্বাচন করুন। আপনি নিজের পাসফ্রেজ প্রদান করতে পারেন যা কেবলমাত্র আপনার কম্পিউটারে সংরক্ষণ করা হবে।

এই বিকল্পের সাথে, গুগলের আপনার ডেটাতে অ্যাক্সেস নেই, ধরে নিলে তারা আপনার পাসফ্রেজের সাথে কী ঘটে সে সম্পর্কে তারা সৎ হচ্ছে (আপনি যদি আপনার পাসফ্রেজ ভুলে যান তবে কী ঘটে তা পরিষ্কার করে দেয় যে তারা এটি আপনার সুবিধার জন্য সংরক্ষণ করে না), নেই তাদের সিঙ্ক সুরক্ষার জন্য কিছু ফাঁক গর্ত (বা পিছনের), এবং আপনার পাসফ্রেজ গুগলের দ্বারা একটি বর্বর বলয় প্রচেষ্টা প্রতিরোধ করার জন্য যথেষ্ট সুরক্ষিত (যেমন একটি পাসওয়ার্ড সম্ভব, তবে খুব atypical)।

আপনি আপনার ব্রাউজার হিসাবে ক্রোমের সাথে একযোগে কেপাসের মতো অফলাইন পাসওয়ার্ড ম্যানেজার ব্যবহার করে গুগলের পক্ষে আপনার পাসওয়ার্ডগুলি আটকানোর সুযোগ হ্রাস করতে পারেন । আপনি আর গুগল পণ্য ব্যবহার না করে পুরোপুরি সুযোগটি মুছে ফেলতে পারেন (যদি তারা সত্যিই গুগল ড্রাইভ বা ক্রোমের সাথে একটি কীলগার বান্ডেল করে থাকে? এবং জিমেইলের সাথে, পাসওয়ার্ড পুনরায় সেট করার অনুরোধগুলি কোনওভাবে বা অন্য কোনওভাবে বাধা দেওয়া হতে পারে, সম্ভবত গুগল আপনার অ্যাকাউন্টগুলিতে অ্যাক্সেস করে, এমনকি যদি আপনার পাসওয়ার্ডগুলি অকার্যকর হয়)।

ফায়ারফক্সের সাথে আপনার ডেটার সুরক্ষা আপনার ফায়ারফক্স অ্যাকাউন্টের পাসওয়ার্ডকে কতটা সুরক্ষিত করে তার উপর নির্ভর করে । আপনি যদি একটি ভাল পাসওয়ার্ড চয়ন করেন তবে মোজিলা বা যে কেউ আপনার পাসওয়ার্ড অ্যাক্সেস করা অসম্ভব। যাইহোক, এটি এই ধারণাটি তৈরি করে যে মজিলা সিস্টেমটি কীভাবে কাজ করে সে সম্পর্কে সৎ হচ্ছে, এবং তাদের সুরক্ষার কোনও ফাঁক গর্ত (বা পিছনের) নেই। আপনি মজিলা ব্যবহার না করে নিজের ব্যক্তিগত সিঙ্ক সার্ভার চালিয়ে সুরক্ষার একটি অতিরিক্ত পরিমাপ যোগ করতে পারেন । যেহেতু ফায়ারফক্স ওপেন সোর্স এবং মজিলার গুগলের চেয়ে গোপনীয়তার বিষয়ে আরও ভাল ট্র্যাক রেকর্ড রয়েছে , তাই তাদের আপনার ডেটাতে আপস করার চেষ্টা করার সম্ভাবনা অনেক কম বলে মনে হয়।

আপনার প্রয়োজন অনুযায়ী এবং আপনার প্রয়োজনের উপর ভিত্তি করে আপনার প্যারানয়েয়ার স্তরটি চয়ন করুন। স্নোডেন-স্তরীয় প্রয়োজনে আমি গুগলের কোনও কিছুই ব্যবহার করব না, তবে সাধারণ গোপনীয়তার প্রয়োজনে আমি গুগল সিঙ্কে ন্যূনতম একটি পাসফ্রেজ নিয়ে যেতে পারি (যাতে আপনার গুগল অ্যাকাউন্টে অ্যাক্সেসকারী একজন আক্রমণকারীকে তার আগে যাওয়ার আরও একটি স্তর থাকে) আপনার পাসওয়ার্ড আছে)।

এছাড়াও, নোট করুন যে কেউ যদি আপনার পিসিতে একটি কীলগার (সম্ভবত কোনও স্ক্রিন স্ক্র্যাপার এবং মাউস ক্লিক রেকর্ডার দ্বারা পরিপূর্ণ) ইনস্টল করতে সক্ষম হন তবে উইন্ডোটি সরে গেছে।

আপনার প্যারানিয়াটি ন্যায়সঙ্গত। হ্যাঁ, গুগল আপনার পাসওয়ার্ড অ্যাক্সেস করতে পারে। এটি এমনকি সত্য যদি আপনি একটি পছন্দসই পাসফ্রেজ সংজ্ঞায়িত করেন, যদি না সেই পাসফ্রেজটি সাধারণ মানব-নির্বাচিত পাসওয়ার্ড হওয়ার চেয়ে সত্যই এলোমেলো হয়। কারণটি হল, ক্রোমটি কোনও পাসওয়ার্ডকে একটি এনক্রিপশন কীতে রূপান্তর করতে (PBKDF2-HMAC-SHA1 1003 পুনরুক্তি করবে) হাস্যকরভাবে ব্রুটফোর্সের পক্ষে সহজ পদ্ধতি। এটি গুগলের সংস্থান গ্রহণ করে না, গ্রাফিক্স কার্ডে $ 1000 এরও কম বিনিয়োগ করতে ইচ্ছুক যে কয়েক দিনের মধ্যে বেশিরভাগ পাসওয়ার্ড অনুমান করতে পারে। বর্তমান বাস্তবায়ন এমনকি একটি পরিবর্তনশীল লবণ সেট করতে ব্যর্থ হয়, যা সমান্তরালভাবে সমস্ত অ্যাকাউন্টের জন্য অনুমানের পাসফ্রেজগুলির অনুমতি দেয়।

বর্তমান ফায়ারফক্স সিঙ্ক বাস্তবায়ন যথেষ্ট ভাল। সার্ভারে কেবল যে কেউ ডেটা অ্যাক্সেস করছে এটির সাহায্যে এটি পুরোপুরি কিছুই করতে সক্ষম হবে না, সুরক্ষা বুদ্ধিমান। সেই সুরক্ষার ক্লায়েন্ট-সাইড উপাদানটি বর্তমানে সাব-ইস্টিমাল (PBKDF2-HMAC-SHA256 এর সাথে 1000 পুনরাবৃত্তি রয়েছে), সুতরাং যে কেউ যেই পাসওয়ার্ড হ্যাশটিকে সার্ভারে প্রেরণ করা হচ্ছিল সেটিকে আটকাতে সক্ষম হবে তুলনামূলকভাবে আপনার পাসওয়ার্ডটি অনুমান করতে সক্ষম হবে সামান্য প্রচেষ্টা।

অতিরিক্ত তথ্য:

• বিষয়টিতে আমার ব্লগ পোস্ট
• ক্রোমিয়াম 820976 ইস্যু
• মজিলা বাগ 1320222