Je li Google Password Manager siguran i zaštićen?

Vaše lozinke ključ su vašeg postojanja na mreži i otvaraju vrata vašim računima na društvenim mrežama, portalima za plaćanje, možda čak i vašem kućnom sigurnosnom sustavu. Googleov besplatni alat za upravljanje zaporkama integrira se s ostalim uslugama i omogućuje vam pristup zaporci s bilo kojeg uređaja, ali koliko je siguran i kakav je u usporedbi s konkurencijom?

Što je Google Password Manager?

Ako ste ikada imali Chromebook, Android uređaj ili surfali internetom koristeći Googleov preglednik Chrome, vjerojatno ste već naišli na Googleov upravitelj lozinki.

Kada unesete podatke za prijavu na bilo kojoj web stranici, vidjet ćete upit želite li "Spremiti lozinku". Obično imate dvije mogućnosti: "Spremi" i "Nikad".

Nakon što kliknete "Spremi", ako posjetite istu web stranicu, Chrome će moći ispuniti vaše vjerodajnice za prijavu, tj. korisničko ime i lozinku, a da ih ne morate zapamtiti.

Zašto biste trebali koristiti Google Password Manager?

Jednom riječju, jednostavnost. Ako već koristite Google Chrome, ima smisla koristiti integrirani alat za zaporke.

Možete se prijaviti na bilo kojem pregledniku Chrome i automatski se prijaviti na web stranice kao da ste na vlastitom računalu.

Da biste vidjeli spremljene zaporke, bez obzira jeste li prijavljeni na Chrome ili neki drugi Google uređaj, možete posjetiti domenu Google zaporki u svom pregledniku. Lako je—samo trebate zapamtiti svoju Google lozinku.

Gdje Google Password Manager pohranjuje vaše lozinke?

Ako ste prijavljeni na svoj Google račun, vaše lokalno pohranjene lozinke za Chrome bit će sinkronizirane na passwords.google.com. Ako niste prijavljeni, možete unijeti chrome://password-manager/passwords u URL traku.

Da biste pristupili svojim lozinkama bez unosa URL-a, prvo morate lokalno instalirati Google Password Manager. Da biste to učinili, kliknite ikonu izbornika u gornjem desnom kutu aplikacije Chrome i odaberite Instalirajte Google Password Manager..., onda Instalirati kada se to od vas zatraži.

Nakon toga pojavit će se novi unos u izborniku pod nazivom Google Password Manager. Možete kliknuti na ovo da biste pristupili svojim vjerodajnicama za prijavu. Alternativno, možete kliknuti na novu ikonu na radnoj površini.

Na Windows računalu možete pronaći svoje spremljene podatke za prijavu na Google u sqlite datoteci koja se nalazi na C:\Users\vaše_korisničko ime\AppData\Local\Google\Chrome\User Data\Default\Login Data.

Ovu datoteku možete otvoriti namjenskim preglednikom Sqlite ili Notepadom—iako ako odaberete potonju opciju, formatiranje će biti čudno, a neki znakovi bit će nečitljivi.

U ovoj datoteci pronaći ćete adrese stranica za koje imate spremljenu zaporku, svoje korisničko ime ili adresu e-pošte i šifriranu zaporku.

Koliko je siguran Google Password Manager?

Google je jedna od najvećih i najmoćnijih tehnoloških tvrtki na svijetu, a ako koristite multifaktor provjeru autentičnosti s vašim Google računom, lozinke i pojedinosti o računu koje pohranjujete na mreži vjerojatno će biti vrlo sigurno sigurno.

Google nije imao značajniju povredu podataka od 2018., kada je Wall Street Journal otkrio je da API bug izlaže privatne podatke više od tri godine. Međutim, ti podaci nisu uključivali lozinke.

Glavna ranjivost Google Password Managera leži na vašem računalu i postoje dva načina na koja napadači mogu doći do vašeg računa.

Prvo je otvoriti aplikaciju za upravljanje lozinkama. Napadaču bi bio potreban fizički pristup vašem računalu kako bi to učinio i vjerojatno bi bio spriječen kada bi se od njega zatražilo da unese lozinku vašeg sustava. Ako uspiju probiti lozinku vašeg sustava, moći će preuzeti sve vaše prijave i lozinke bez enkripcije.

Drugi mogući problem je datoteka baze podataka.

Kako bi kompromitirao račun, napadač mora znati tri stvari: da račun postoji s određenom uslugom, korisničko ime povezano s računom i lozinku.

U datoteci baze podataka na vašem računalu, ova prva dva faktora su u običnom tekstu, a samo je lozinka šifrirana. Ako napadač uspije ovo kopirati s vašeg računala, može se krekirati u slobodno vrijeme. Popisi zaporki povezanih s korisničkim imenima i uslugama također su dostupni na internetskim tržištima. Možeš provjerite jesu li vjerodajnice ugrožene na haveibeenpwned.

Zapravo nije teško doći do datoteke ako napadač ima pristup stroju, a mi smo tempirali da je eksfiltriramo na USB stick u samo nekoliko sekundi. Alternativno, e-pošta će poslužiti.

Napadači također mogu pokušati staviti malware na vaše računalo kako bi ukrali datoteku.

Jesu li namjenski mrežni upravitelji zaporki sigurniji od Googleovog upravitelja zaporki?

Mrežni upravitelji zaporkama rastuća su industrija i pohranjuju sve vaše zaporke u šifrirani trezor te potiču upotrebu jakih, nasumično generiranih zaporki. Ti su trezori obično zaštićeni glavnom lozinkom.

Iako se ovo može činiti kao sigurno rješenje, Povreda podataka LastPass 2022 pokazao je da je sofisticiranim napadačima moguće preuzeti sefove zaporki i ključeve za šifriranje—dajući im lak pristup svim vašim računima i podacima. Vrlo malo je zapravo nemoguće razbiti, tako da postoje rizici, ma koliko mali, bez obzira na način skladištenja.

Ne postoji najbolje rješenje za sigurno upravljanje lozinkama

Korisnička imena i zaporke važna su meta za kriminalce i važno je čuvati svoje. Ali niti jedan sustav upravljanja lozinkama nije potpuno siguran od napada. Jedno od mogućih rješenja je korištenje upravitelja zaporki bez statusa koji generiraju zaporke za stranice na temelju brojnih parametara uključujući URL za prijavu, vašu adresu e-pošte i tajnu frazu.