Er Google Password Manager trygt og sikkert?

Passordene dine er nøklene til din online eksistens, og åpner dørene til dine sosiale mediekontoer, betalingsportaler, kanskje til og med hjemmesikkerhetssystemet ditt. Googles gratis passordbehandlingsverktøy integreres med de andre tjenestene, og lar deg få tilgang til passordet ditt fra hvilken som helst enhet, men hvor trygt er det, og hvordan er det sammenlignet med konkurrentene?

Hva er Google Password Manager?

Hvis du noen gang har eid en Chromebook, en Android-enhet eller surfet på nettet ved hjelp av Googles Chrome-nettleser, har du sannsynligvis allerede møtt Googles passordbehandling.

Når du skriver inn påloggingsdetaljene dine på et hvilket som helst nettsted, vil du se en melding som spør om du vil «Lagre passord». Du har vanligvis to alternativer: «Lagre» og «Aldri».

Etter å ha klikket på «Lagre», hvis du besøker samme nettside, vil Chrome kunne fylle inn påloggingsinformasjonen din, dvs. brukernavn og passord, uten at du trenger å huske dem.

Hvorfor bør du bruke Google Password Manager?

Med et ord, enkelhet. Hvis du allerede bruker Google Chrome, er det fornuftig å bruke det integrerte passordverktøyet.

Du kan logge på en hvilken som helst Chrome-nettleser og logge deg automatisk på nettsteder som om du var på din egen datamaskin.

For å se lagrede passord, enten du er logget på Chrome eller en annen Google-enhet, kan du gå til Google-passorddomenet i nettleseren din. Det er enkelt – du trenger bare å huske Google-passordet ditt.

Hvor lagrer Google Password Manager passordene dine?

Hvis du er logget på Google-kontoen din, blir de lokalt lagrede Chrome-passordene dine synkronisert til passwords.google.com. Hvis du ikke er logget på, kan du skrive inn chrome://password-manager/passwords i URL-linjen.

For å få tilgang til passordene dine uten å angi en URL, må du først installere Google Password Manager lokalt. For å gjøre dette, klikk på menyikonet øverst til høyre i Chrome-appen, og velg Installer Google Password Manager… og deretter Installer når du blir bedt om det.

Etter dette vil det være en ny oppføring i menyen, kalt Google Password Manager. Du kan klikke på denne for å få tilgang til påloggingsinformasjonen din. Alternativt kan du klikke på det nye ikonet på skrivebordet.

På en Windows-maskin kan du finne den lagrede Google-påloggingsinformasjonen din i en sqlite-fil som ligger på C:\Users\ditt_brukernavn\AppData\Local\Google\Chrome\User Data\Default\Login Data.

Du kan åpne denne filen med en dedikert Sqlite-nettleser, eller med Notisblokk – selv om hvis du velger det siste alternativet, vil formateringen være merkelig, og noen tegn vil være uleselige.

I denne filen finner du adressen til nettstedene du har lagret passord for, brukernavnet eller e-postadressen og det krypterte passordet ditt.

Hvor sikker er Google Password Manager?

Google er et av de største og mektigste teknologiselskapene i verden, og hvis du bruker multifaktorautentisering med Google-kontoen din, vil passordene og kontodetaljene du lagrer på nettet sannsynligvis være veldig trygge.

Google har ikke hatt et nevneverdig datainnbrudd siden 2018, da Wall Street Journal avslørte at en API-feil hadde eksponert private data i mer enn tre år. Disse dataene inkluderte imidlertid ikke passord.

Google Password Managers hovedsårbarhet ligger på PC-en din, og det er to måter angripere kan få tilgang til kontoen din på.

Den første er å åpne passordbehandlingsappen. Angriperen vil kreve fysisk tilgang til maskinen din for å gjøre dette, og vil sannsynligvis bli hindret når du blir bedt om å angi systempassordet. Hvis de klarer å knekke systempassordet ditt, vil de kunne laste ned alle påloggingene og passordene dine uten kryptering.

Det andre potensielle problemet er databasefilen.

For å kompromittere en konto, må en angriper vite tre ting: at det finnes en konto hos en bestemt tjeneste, brukernavnet knyttet til kontoen og passordet.

I databasefilen på din PC er disse to første faktorene i ren tekst, og kun passordet er kryptert. Hvis en angriper klarer å kopiere dette vekk fra PC-en din, kan det knekkes i ro og mak. Lister over passord knyttet til brukernavn og tjenester er også tilgjengelig på nettbaserte markedsplasser. Du kan sjekke om legitimasjonen har blitt kompromittert på haveibeenpwned.

Det er faktisk ikke vanskelig å få tak i filen hvis en angriper har tilgang til maskinen, og vi tidsbestemte oss for å eksfiltrere den på en USB-pinne på bare sekunder. Alternativt vil e-post gjøre det.

Angripere kan også prøve å sette skadevare på PC-en din for å stjele filen.

Er dedikerte online passordbehandlere tryggere enn Google Password Manager?

Online passordbehandlere er en voksende bransje, og lagrer alle passordene dine i et kryptert hvelv, og oppmuntrer til bruk av sterke, tilfeldig genererte passord. Disse hvelvene er vanligvis sikret med et hovedpassord.

Selv om dette kan virke som en sikker løsning, viste LastPass-databruddet i 2022 at det er mulig for sofistikerte angripere å laste ned passordhvelv og krypteringsnøkler – noe som gir dem enkel tilgang til alle dine kontoer og data. Svært lite er faktisk uncrackable, så det er risiko, uansett hvor liten, uansett lagringsmetode.

Det finnes ingen beste løsning for sikker passordadministrasjon

Brukernavn og passord er et viktig mål for kriminelle, og det er viktig å holde ditt trygt og sikkert. Men intet passordbehandlingssystem er helt trygt fra angrep. En mulig løsning er å bruke statsløse passordbehandlere som genererer passord for nettsteder basert på en rekke parametere, inkludert påloggings-URLen din e-postadresse og en hemmelig setning.