Twoje hasła są kluczem do Twojej obecności w Internecie i otwierają drzwi do Twoich kont w mediach społecznościowych, portali płatniczych, a może nawet do Twojego systemu bezpieczeństwa w domu. Bezpłatne narzędzie do zarządzania hasłami Google integruje się z innymi usługami Google i umożliwia dostęp do hasła z dowolnego urządzenia, ale jak bezpieczne jest ono i jak wypada na tle konkurencji?
Spis treści:
Co to jest Menedżer haseł Google?
Jeśli kiedykolwiek miałeś Chromebooka, urządzenie z Androidem lub surfowałeś po Internecie za pomocą przeglądarki Google Chrome, prawdopodobnie natknąłeś się już na menedżera haseł Google.
Po wprowadzeniu danych logowania na dowolnej stronie internetowej zostanie wyświetlony monit z pytaniem, czy chcesz „Zapisać hasło”. Zwykle masz dwie opcje: „Zapisz” i „Nigdy”.
Po kliknięciu „Zapisz”, jeśli odwiedzasz tę samą witrynę, Chrome będzie mógł wpisać Twoje dane logowania, tj. nazwę użytkownika i hasło, bez konieczności ich zapamiętywania.
Dlaczego warto korzystać z Menedżera haseł Google?
Jednym słowem prostota. Jeśli korzystasz już z przeglądarki Google Chrome, warto skorzystać ze zintegrowanego narzędzia do haseł.
Możesz zalogować się w dowolnej przeglądarce Chrome i automatycznie logować się do stron internetowych tak, jakbyś był na własnym komputerze.
Aby zobaczyć zapisane hasła, niezależnie od tego, czy jesteś zalogowany w przeglądarce Chrome, czy na innym urządzeniu Google, możesz odwiedzić domenę haseł Google w swojej przeglądarce. To proste — wystarczy zapamiętać hasło Google.
Gdzie Google Password Manager przechowuje Twoje hasła?
Jeśli jesteś zalogowany na swoje konto Google, Twoje lokalnie przechowywane hasła do Chrome zostaną zsynchronizowane z Passwords.google.com. Jeśli nie jesteś zalogowany, możesz wpisać chrome://password-manager/passwords w pasku adresu URL.
Aby uzyskać dostęp do haseł bez podawania adresu URL, musisz najpierw zainstalować lokalnie Google Password Manager. Aby to zrobić, kliknij ikonę menu w prawym górnym rogu aplikacji Chrome i wybierz Zainstaluj Menedżera haseł Google…, a następnie Zainstaluj po wyświetleniu monitu.
Następnie w menu pojawi się nowa pozycja o nazwie Menedżer haseł Google. Możesz to kliknąć, aby uzyskać dostęp do danych logowania. Alternatywnie możesz kliknąć nową ikonę na pulpicie.
Na komputerze z systemem Windows zapisane dane logowania Google można znaleźć w pliku sqlite znajdującym się w lokalizacji C:\Users\twoja_nazwa_użytkownika\AppData\Local\Google\Chrome\User Data\Default\Login Data.
Możesz otworzyć ten plik za pomocą dedykowanej przeglądarki Sqlite lub Notatnika — chociaż jeśli wybierzesz tę drugą opcję, formatowanie będzie dziwne, a niektóre znaki będą nieczytelne.
W tym pliku znajdziesz adres stron, dla których masz zapisane hasło, swoją nazwę użytkownika lub adres e-mail oraz zaszyfrowane hasło.
Jak bezpieczny jest Menedżer haseł Google?
Google to jedna z największych i najpotężniejszych firm technologicznych na świecie, więc jeśli korzystasz z uwierzytelniania wielopoziomowego na swoim koncie Google, hasła i dane konta, które przechowujesz online, prawdopodobnie będą rzeczywiście bardzo bezpieczne.
Od 2018 r., kiedy to w Google nie doszło do zauważalnego naruszenia bezpieczeństwa danych dziennik „Wall Street ujawniło, że błąd API ujawniał prywatne dane przez ponad trzy lata. Dane te nie obejmowały jednak haseł.
Główna luka w zabezpieczeniach Google Password Manager leży na Twoim komputerze, a atakujący mogą uzyskać dostęp do Twojego konta na dwa sposoby.
Pierwszym z nich jest otwarcie aplikacji do zarządzania hasłami. Aby tego dokonać, osoba atakująca potrzebowałaby fizycznego dostępu do Twojego komputera i prawdopodobnie zostałaby udaremniona, gdy zostałby poproszony o podanie hasła systemowego. Jeśli uda im się złamać Twoje hasło systemowe, będą mogli pobrać wszystkie Twoje loginy i hasła bez szyfrowania.
Drugim potencjalnym problemem jest plik bazy danych.
Aby złamać bezpieczeństwo konta, osoba atakująca musi wiedzieć trzy rzeczy: istnienie konta w określonej usłudze, nazwę użytkownika powiązaną z kontem oraz hasło.
W pliku bazy danych na komputerze te dwa pierwsze czynniki są zapisane zwykłym tekstem i tylko hasło jest szyfrowane. Jeśli atakującemu uda się skopiować ten plik z komputera, może on zostać złamany w dowolnym momencie. Listy haseł powiązanych z nazwami użytkowników i usługami są również dostępne na platformach handlowych online. Możesz sprawdzić, czy dane uwierzytelniające zostały naruszone, na stronie Haveibeenpwned.
Właściwie zdobycie pliku nie jest trudne, jeśli osoba atakująca ma dostęp do maszyny, a my zaplanowaliśmy wydobycie go na pamięć USB w ciągu zaledwie kilku sekund. Alternatywnie wystarczy e-mail.
Osoby atakujące mogą również próbować umieścić na komputerze złośliwe oprogramowanie w celu kradzieży pliku.
Czy dedykowani menedżerowie haseł online są bezpieczniejsi niż menedżer haseł Google?
Menedżerowie haseł online to rozwijająca się branża, która przechowuje wszystkie Twoje hasła w zaszyfrowanym skarbcu i zachęca do używania silnych, losowo generowanych haseł. Te skarbce są zazwyczaj zabezpieczone hasłem głównym.
Choć może się to wydawać bezpiecznym rozwiązaniem, naruszenie danych w LastPass w 2022 r. pokazało, że wyrafinowani atakujący mogą pobrać magazyny haseł i klucze szyfrowania, zapewniając im łatwy dostęp do wszystkich Twoich kont i danych. Niewiele jest rzeczy, których nie da się złamać, więc istnieje ryzyko, choćby niewielkie, niezależnie od metody przechowywania.
Nie ma najlepszego rozwiązania w zakresie bezpiecznego zarządzania hasłami
Nazwy użytkowników i hasła są ważnym celem dla przestępców, dlatego ważne jest, aby chronić swoje dane. Żaden system zarządzania hasłami nie jest jednak całkowicie bezpieczny przed atakiem. Jednym z możliwych rozwiązań jest użycie bezstanowych menedżerów haseł, które generują hasła do witryn na podstawie szeregu parametrów, w tym adresu URL logowania, adresu e-mail i tajnej frazy.