Google może zapytać Cię, czy chcesz przechowywać Twoje dane logowania, ale czy możesz zaufać własnemu Menedżerowi haseł Google? Czy jest bezpieczny w użyciu?
Twoje hasła są kluczem do Twojej obecności w Internecie i otwierają drzwi do Twoich kont w mediach społecznościowych, portali płatniczych, a może nawet do Twojego systemu bezpieczeństwa w domu. Bezpłatne narzędzie do zarządzania hasłami Google integruje się z innymi usługami Google i umożliwia dostęp do hasła z dowolnego urządzenia, ale jak bezpieczne jest ono i jak wypada na tle konkurencji?
Co to jest Menedżer haseł Google?
Jeśli kiedykolwiek miałeś Chromebooka, urządzenie z Androidem lub surfowałeś po Internecie za pomocą przeglądarki Google Chrome, prawdopodobnie natknąłeś się już na menedżera haseł Google.
Po wprowadzeniu danych logowania na dowolnej stronie internetowej zostanie wyświetlony monit z pytaniem, czy chcesz „Zapisać hasło”. Zwykle masz dwie możliwości: „Zapisz” i „Nigdy”.
Jeśli po kliknięciu „Zapisz” odwiedzisz tę samą witrynę, Chrome będzie mógł wpisać Twoje dane logowania, tj. nazwę użytkownika i hasło, bez konieczności ich zapamiętywania.
Dlaczego warto korzystać z Menedżera haseł Google?
Jednym słowem prostota. Jeśli korzystasz już z przeglądarki Google Chrome, warto skorzystać ze zintegrowanego narzędzia do haseł.
Możesz zalogować się w dowolnej przeglądarce Chrome i automatycznie logować się do stron internetowych tak, jakbyś był na własnym komputerze.
Aby zobaczyć zapisane hasła, niezależnie od tego, czy jesteś zalogowany w przeglądarce Chrome, czy na innym urządzeniu Google, możesz odwiedzić domenę haseł Google w swojej przeglądarce. To proste — wystarczy zapamiętać hasło Google.
Gdzie Google Password Manager przechowuje Twoje hasła?
Jeśli jesteś zalogowany na swoje konto Google, Twoje lokalnie przechowywane hasła do Chrome zostaną zsynchronizowane z Passwords.google.com. Jeśli nie jesteś zalogowany, możesz wpisać chrome://password-manager/passwords w pasku adresu URL.
Aby uzyskać dostęp do haseł bez podawania adresu URL, musisz najpierw zainstalować lokalnie Google Password Manager. Aby to zrobić, kliknij ikonę menu w prawym górnym rogu aplikacji Chrome i wybierz Zainstaluj Menedżera haseł Google..., Następnie zainstalować gdy pojawi się monit.
Następnie w menu pojawi się nowa pozycja o nazwie Menedżer haseł Google. Możesz to kliknąć, aby uzyskać dostęp do danych logowania. Alternatywnie możesz kliknąć nową ikonę na pulpicie.
Na komputerze z systemem Windows zapisane dane logowania Google można znaleźć w pliku sqlite znajdującym się w lokalizacji C:\Users\twoja_nazwa_użytkownika\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Możesz otworzyć ten plik za pomocą dedykowanej przeglądarki Sqlite lub Notatnika — chociaż jeśli wybierzesz tę drugą opcję, formatowanie będzie dziwne, a niektóre znaki będą nieczytelne.
W tym pliku znajdziesz adres stron, dla których masz zapisane hasło, swoją nazwę użytkownika lub adres e-mail oraz zaszyfrowane hasło.
Jak bezpieczny jest Menedżer haseł Google?
Google to jedna z największych i najpotężniejszych firm technologicznych na świecie, i to w dodatku wieloczynnikowej uwierzytelnienia za pomocą konta Google, hasła i dane konta, które przechowujesz online, prawdopodobnie będą bardzo rzeczywiście bezpieczny.
Od 2018 r., kiedy to w Google nie doszło do zauważalnego naruszenia bezpieczeństwa danych dziennik "Wall Street ujawniło, że błąd API ujawniał prywatne dane przez ponad trzy lata. Dane te nie obejmowały jednak haseł.
Główna luka w zabezpieczeniach Google Password Manager leży na Twoim komputerze, a atakujący mogą uzyskać dostęp do Twojego konta na dwa sposoby.
Pierwszym z nich jest otwarcie aplikacji do zarządzania hasłami. Aby tego dokonać, osoba atakująca potrzebowałaby fizycznego dostępu do Twojego komputera i prawdopodobnie zostałaby udaremniona, gdy zostałby poproszony o podanie hasła systemowego. Jeśli uda im się złamać Twoje hasło systemowe, będą mogli pobrać wszystkie Twoje loginy i hasła bez szyfrowania.
Drugim potencjalnym problemem jest plik bazy danych.
Aby złamać bezpieczeństwo konta, osoba atakująca musi wiedzieć trzy rzeczy: istnienie konta w określonej usłudze, nazwę użytkownika powiązaną z kontem oraz hasło.
W pliku bazy danych na komputerze te dwa pierwsze czynniki są zapisane zwykłym tekstem i tylko hasło jest szyfrowane. Jeśli atakującemu uda się skopiować ten plik z komputera, może on zostać złamany w dowolnym momencie. Listy haseł powiązanych z nazwami użytkowników i usługami są również dostępne na platformach handlowych online. Możesz sprawdź, czy dane uwierzytelniające nie zostały naruszone w Haveibeenpwned.
Właściwie zdobycie pliku nie jest trudne, jeśli osoba atakująca ma dostęp do maszyny, a my zaplanowaliśmy wydobycie go na pamięć USB w ciągu zaledwie kilku sekund. Alternatywnie wystarczy e-mail.
Napastnicy mogą również próbować umieścić złośliwe oprogramowanie na swoim komputerze w celu kradzieży pliku.
Czy dedykowani menedżerowie haseł online są bezpieczniejsi niż menedżer haseł Google?
Menedżerowie haseł online to rozwijająca się branża, która przechowuje wszystkie Twoje hasła w zaszyfrowanym skarbcu i zachęca do używania silnych, losowo generowanych haseł. Te skarbce są zazwyczaj zabezpieczone hasłem głównym.
Chociaż może się to wydawać bezpiecznym rozwiązaniem, plik Naruszenie danych LastPass w 2022 r wykazało, że wyrafinowani atakujący mogą pobrać magazyny haseł i klucze szyfrowania, zapewniając im łatwy dostęp do wszystkich kont i danych. Niewiele jest rzeczy, których nie da się złamać, więc istnieje ryzyko, choćby niewielkie, niezależnie od metody przechowywania.
Nie ma najlepszego rozwiązania w zakresie bezpiecznego zarządzania hasłami
Nazwy użytkowników i hasła są ważnym celem dla przestępców, dlatego ważne jest, aby chronić swoje dane. Żaden system zarządzania hasłami nie jest jednak całkowicie bezpieczny przed atakiem. Jednym z możliwych rozwiązań jest użycie bezstanowych menedżerów haseł, które generują hasła do witryn na podstawie szeregu parametrów, w tym adresu URL logowania, adresu e-mail i tajnej frazy.