Dine passord fungerer som nøkler til din digitale tilstedeværelse. De gir adgang til dine sosiale medier, betalingsløsninger, og potensielt også til smarthjem-systemene dine. Googles kostnadsfrie passordbehandler er integrert med deres øvrige tjenester, slik at du kan få tak i passordene dine fra hvilken som helst enhet. Men hvor sikkert er dette, og hvordan står det seg i forhold til konkurrerende løsninger?
Hva er Google Password Manager?
Dersom du har brukt en Chromebook, en Android-enhet, eller surfet på internett med Googles Chrome-nettleser, har du antakelig allerede stiftet bekjentskap med Googles passordbehandling.
Når du taster inn påloggingsinformasjonen din på en nettside, dukker det opp en melding som spør om du vil «Lagre passordet». Du får da som regel valget mellom å trykke «Lagre» eller «Aldri».
Dersom du velger «Lagre», vil Chrome automatisk fylle ut påloggingsdetaljene dine – brukernavn og passord – neste gang du besøker den samme nettsiden. Dermed slipper du å huske disse selv.
Hvorfor bør du bruke Google Password Manager?
Enkelhet er nøkkelordet. Hvis du allerede er en bruker av Google Chrome, virker det naturlig å benytte deg av det innebygde passordverktøyet.
Du kan logge inn på hvilken som helst Chrome-nettleser og automatisk logge inn på nettsteder, akkurat som om du brukte din egen datamaskin.
For å se dine lagrede passord, enten du er innlogget i Chrome eller på en annen Google-enhet, kan du besøke Google-passordsiden i nettleseren din. Det er lettvint – du behøver bare å huske Google-passordet ditt.
Hvor lagrer Google Password Manager passordene dine?
Dersom du er pålogget Google-kontoen din, synkroniseres de lokalt lagrede Chrome-passordene dine til passwords.google.com. Hvis du ikke er logget inn, kan du skrive inn chrome://password-manager/passwords i adressefeltet.
For å få tilgang til passordene dine uten å måtte skrive inn en URL, må du først installere Google Password Manager lokalt. Dette gjøres ved å trykke på menyikonet øverst til høyre i Chrome-appen, velge Installer Google Password Manager, og så trykke Installer når du blir spurt.
Etter installasjonen dukker det opp et nytt element i menyen som heter Google Password Manager. Du kan klikke her for å få tilgang til din påloggingsinformasjon. Alternativt kan du bruke det nye ikonet som dukker opp på skrivebordet.
På en Windows-maskin lagres din Google-påloggingsinformasjon i en sqlite-fil som du finner her: C:\Users\ditt_brukernavn\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Du kan åpne denne filen med en dedikert Sqlite-leser, eller med Notisblokk. Velger du det siste alternativet, vil formateringen være rotete og noen tegn kan være uleselige.
I denne filen finner du adressen til nettsidene du har lagret passord for, ditt brukernavn eller e-postadresse, samt ditt krypterte passord.
Hvor sikkert er Google Password Manager?
Google er en av verdens største teknologibedrifter. Hvis du i tillegg bruker totrinnsbekreftelse med din Google-konto, er det meget sannsynlig at passordene og kontodetaljene du lagrer online, er trygge.
Google har ikke hatt noen betydelige datainnbrudd siden 2018, da Wall Street Journal avslørte at en API-feil hadde eksponert private data i over tre år. Disse dataene inkluderte imidlertid ikke passord.
Den største sårbarheten til Google Password Manager ligger på din egen datamaskin. Det finnes to måter uvedkommende kan få tilgang til din konto på.
Den første metoden er å åpne selve passordbehandlingsappen. En angriper vil måtte ha fysisk tilgang til maskinen din for å gjøre dette, og vil sannsynligvis bli hindret av systempassordet. Men hvis de klarer å omgå systempassordet ditt, kan de laste ned alle dine innloggingsdetaljer og passord uten kryptering.
Den andre potensielle risikoen er selve databasefilen.
For å kompromittere en konto, må en angriper vite tre ting: at en konto eksisterer hos en spesifikk tjeneste, brukernavnet knyttet til den kontoen, og passordet.
I databasefilen på PC-en din, er de to første faktorene lagret i ren tekst, mens kun passordet er kryptert. Hvis en angriper får kopiert denne filen fra PC-en din, kan den dekrypteres i fred og ro. Lister over passord knyttet til brukernavn og tjenester, er også tilgjengelige på nettet. Du kan sjekke om din informasjon har blitt kompromittert på haveibeenpwned.
Det er ikke særlig vanskelig å få tak i filen dersom en angriper har tilgang til maskinen. Vi brukte kun sekunder på å overføre den til en USB-enhet. Alternativt kan e-post brukes.
Uvedkommende kan også forsøke å installere skadelig programvare på PC-en din for å stjele denne filen.
Er dedikerte, online passordbehandlere sikrere enn Google Password Manager?
Markedet for online passordbehandlere er i sterk vekst. Disse løsningene lagrer alle dine passord i et kryptert hvelv, og oppfordrer deg til å bruke sterke, tilfeldig genererte passord. Hvelvet er vanligvis beskyttet av et hovedpassord.
Selv om dette kan virke som en sikker løsning, viste datainnbruddet hos LastPass i 2022 at det er mulig for sofistikerte angripere å laste ned passordhvelv og krypteringsnøkler. Dette gir dem enkel tilgang til alle dine kontoer og data. Det er viktig å innse at ingen løsning er 100% sikker. Det vil alltid være en risiko, uansett lagringsmetode.
Det finnes ingen perfekt løsning for sikker passordadministrasjon
Brukernavn og passord er attraktive mål for kriminelle. Det er derfor essensielt å beskytte denne informasjonen. Likevel finnes det ingen passordbehandlingssystem som er helt immun mot angrep. En mulig løsning er å bruke statsløse passordbehandlere som genererer passord basert på en rekke parametere, som for eksempel påloggings-URL-en, e-postadressen din, og en hemmelig frase.