Google може да ви попита дали искате да съхранява идентификационните ви данни за вход, но можете ли да се доверите на собствения мениджър на пароли на Google? Безопасно ли е да се използва?
Вашите пароли са ключът към вашето онлайн съществуване и отварят вратите към вашите акаунти в социалните медии, портали за плащане, може би дори вашата система за домашна сигурност. Безплатният инструмент за управление на пароли на Google се интегрира с другите услуги и ви позволява да получите достъп до паролата си от всяко устройство, но колко безопасен е той и как се сравнява с конкуренцията?
Какво представлява Google Password Manager?
Ако някога сте притежавали Chromebook, устройство с Android или сте сърфирали в мрежата с помощта на браузъра Chrome на Google, вероятно вече сте попадали на мениджъра на пароли на Google.
Когато въведете вашите данни за вход на който и да е уебсайт, ще видите подкана, която ви пита дали искате да „Запазите паролата“. Обикновено имате две опции: „Запазване“ и „Никога“.
След като щракнете върху „Запазване“, ако посетите същия уебсайт, Chrome ще може да попълни вашите идентификационни данни за вход, т.е. потребителско име и парола, без да е необходимо да ги помните.
Защо трябва да използвате Google Password Manager?
С една дума простотия. Ако вече използвате Google Chrome, има смисъл да използвате интегрирания инструмент за пароли.
Можете да влезете във всеки браузър Chrome и автоматично да влезете в уебсайтове, сякаш сте на собствения си компютър.
За да видите запазените пароли, независимо дали сте влезли в Chrome или друго устройство на Google, можете да посетите домейна на паролите на Google във вашия браузър. Лесно е – трябва само да запомните паролата си за Google.
Къде Google Password Manager съхранява вашите пароли?
Ако сте влезли в акаунта си в Google, вашите локално съхранени пароли за Chrome ще бъдат синхронизирани с passwords.google.com. Ако не сте влезли, можете да въведете chrome://password-manager/passwords в URL лентата.
За да получите достъп до вашите пароли, без да въвеждате URL адрес, първо трябва да инсталирате Google Password Manager локално. За да направите това, щракнете върху иконата на менюто в горния десен ъгъл на приложението Chrome и изберете Инсталирайте Google Password Manager..., тогава Инсталирай когато бъдете подканени.
След това ще има нов запис в менюто, наречен Google Password Manager. Можете да щракнете върху това, за да получите достъп до идентификационните си данни за вход. Като алтернатива можете да щракнете върху новата икона на работния плот.
На машина с Windows можете да намерите запазената си информация за вход в Google във файл sqlite, намиращ се на C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Можете да отворите този файл със специален браузър Sqlite или с Notepad - въпреки че ако изберете последната опция, форматирането ще бъде странно и някои знаци ще бъдат нечетими.
В този файл ще намерите адреса на сайтовете, за които имате запазена парола, вашето потребителско име или имейл адрес и вашата шифрована парола.
Колко сигурен е Google Password Manager?
Google е една от най-големите и мощни технологични компании в света и ако използвате мултифактор удостоверяване с вашия акаунт в Google, паролите и данните за акаунта, които съхранявате онлайн, вероятно ще бъдат много наистина безопасно.
Google не е имал забележимо нарушение на сигурността на данните от 2018 г., когато Wall Street Journal разкри, че грешка в API е разкривала лични данни повече от три години. Тези данни обаче не включват пароли.
Основната уязвимост на Google Password Manager се крие във вашия компютър и има два начина, по които нападателите могат да получат достъп до вашия акаунт.
Първият е да отворите приложението за управление на пароли. Нападателят ще изисква физически достъп до вашата машина, за да направи това, и вероятно ще бъде осуетен, когато бъде помолен да въведе системната ви парола. Ако успеят да разбият системната ви парола, ще могат да изтеглят всичките ви потребителски данни и пароли без криптиране.
Вторият потенциален проблем е файлът на базата данни.
За да компрометира акаунт, нападателят трябва да знае три неща: че съществува акаунт с определена услуга, потребителското име, свързано с акаунта, и паролата.
Във файла с база данни на вашия компютър тези първи два фактора са в обикновен текст и само паролата е шифрована. Ако нападател успее да копира това от вашия компютър, той може да бъде кракнат в свободното си време. Списъци с пароли, свързани с потребителски имена и услуги, също са достъпни на онлайн пазарите. Можеш проверете дали идентификационните данни са били компрометирани на haveibeenpwned.
Всъщност хващането на файла не е трудно, ако нападател има достъп до машината, и ние се заложихме да го ексфилтрираме на USB памет само за секунди. Друга възможност е имейлът.
Нападателите също могат да се опитат постави злонамерен софтуер на вашия компютър за да открадне файла.
Специализираните онлайн мениджъри на пароли по-безопасни ли са от Google Password Manager?
Онлайн мениджърите на пароли са разрастваща се индустрия и съхраняват всички ваши пароли в криптиран трезор и насърчават използването на силни, произволно генерирани пароли. Тези трезори обикновено са защитени с главна парола.
Въпреки че това може да изглежда като сигурно решение, 2022 Пробив в данните на LastPass демонстрира, че е възможно за усъвършенствани нападатели да изтеглят хранилища за пароли и ключове за криптиране - което им дава лесен достъп до всички ваши акаунти и данни. Много малко е всъщност неразбиваемо, така че има рискове, колкото и незначителни да са, независимо от начина на съхранение.
Няма най-добро решение за безопасно управление на пароли
Потребителските имена и пароли са важна мишена за престъпниците и е важно да пазите вашите в безопасност и сигурност. Но нито една система за управление на пароли не е напълно безопасна от атака. Едно възможно решение е да се използват мениджъри на пароли без състояние, които генерират пароли за сайтове въз основа на редица параметри, включително URL адреса за вход, вашия имейл адрес и секретна фраза.