不要让谷歌管理你的密码
专家告诉我们,依靠谷歌浏览器(或任何浏览器)来管理你的在线密码是一个非常糟糕的主意。原因如下。
密码管理员从90年代就有了主要浏览器在2000年代初,将密码管理作为内置功能添加进来。从那时起,我们PCMag就建议把你的密码从不安全的浏览器存储器中取出,放到一个适当的、保护良好的密码管理器中。当时,我们可以指向密码管理器,它会从您的浏览器中提取密码,从浏览器中删除密码,并关闭进一步的基于浏览器的密码捕获。那听起来肯定不安全!
令人欣慰的是,浏览器已经取得了进步,不再让你的密码如此容易被外部操纵。如果你想的话切换到专用的密码管理器例如,您可能需要主动从浏览器中导出密码,并将其导入到您的新产品中。
但是浏览器是否已经取得了足够的进步,以至于我们可以推荐在浏览器中存储你的密码?具体来说,你应该使用谷歌密码管理器吗,它方便地内置在Chrome浏览器中。根据专家的说法,答案仍然是响亮的不。
即使是专门的密码管理器也会泄密
对于一家建立在密码管理基础上的公司来说,信任就是一切。严肃的竞争者使用零知识技术来保护你的加密数据,因此没有人——密码公司、政府、任何人——能够做到知道您的主密码或者解密你的数据。
即便如此,实现中的错误也会危及密码安全。从去年八月开始的一系列揭露中,我们了解到黑客侵入了LastPass员工的电脑去偷未知数量的加密数据库。更糟糕的是,一些重要的数据元素,如登录域没有加密。它是很难相信LastPass现在。
KeePass是技术人员最喜欢的密码管理器,在很大程度上是因为它有无限的定制可能性。然而,这种定制能力已经被揭示为一种致命弱点。任何能够访问您的计算机的人,无论是通过使用远程访问特洛伊木马或者在你不在的时候坐下来窃取您所有的Keepass密码。使用记事本创建一个动作,将密码导出为纯文本,然后将结果数据发送到互联网上的一个点,这很简单。诚然,获得所需的访问权限可能很困难,但是利用是可能的(在新窗口中打开)。或者说,是有可能。最新的KeePass更新2.53.1删除了无需输入主密码即可导出密码的选项。
如何启用或禁用谷歌密码管理器
在进入是否应该使用谷歌密码管理器之前,让我们回顾一下如何关闭它(或者启动它,如果这是你的选择)。首先,确保你已经在所有想要共享密码的Chrome实例中启用了同步。点按Chrome窗口右上角的三点菜单,然后点按“设置”。左侧菜单中标题为“你和谷歌”的顶部项目应该首先被选中;如果没有,请单击它。在出现的对话框中,您可以打开或关闭同步。
现在点击自动填充,就在你和谷歌下面,然后点击密码管理器。如果你想使用谷歌密码管理器,打开项目提供保存密码和自动登录。如果没有,就把它们关掉。
更多信息,您可以阅读如何掌握谷歌密码管理器。不,我们从安全角度不推荐;但是,是的,我们知道有些人会为了方便而牺牲安全。
专家对浏览器密码管理器的看法
为了补充我自己的知识和经验,我拜访了几家著名的商业密码管理公司的专家,包括Craig Lurey,他是饲养员; 诺德帕斯CTO托马斯·斯马拉基斯;和迈克尔·克兰戴尔,首席执行官比特监狱长.
浏览器密码管理器很方便,但是很危险
Smalakys首先警告不要使用浏览器的密码管理器,称“尽管网络安全专家不断警告浏览器密码管理器的漏洞,但互联网用户仍继续陷入‘但这很方便!陷阱。”鲁利表示同意,指出最近的一篇管理员博客文章(在新窗口中打开)列出了一长串浏览器密码管理器不安全的原因。
零知识加密是专用密码管理器无需访问您的主密码即可保护您的数据安全的原因。“谷歌的密码管理器不使用零知识加密,”鲁雷说。“本质上,谷歌可以看到你保存的一切。它们有一个“可选”功能来启用设备上的密码加密,但即使启用,解密信息的密钥也存储在设备上。”
斯马拉基斯同意,存储在浏览器中的数据不会像密码管理器的数据那样受到保护。“黑客使用社会工程方法来欺骗互联网用户下载新的扩展,可以很容易地提取存储在浏览器中的数据,”他指出。他接着说,“虽然密码的云存储没有错,但公司必须确保用户的数据在存储到云中之前是加密的。因此,互联网用户应该选择保证端到端加密的服务提供商。"
克兰德尔扔给谷歌一块骨头,说,“任何密码管理器都比没有密码管理器好,”但接着警告说,“基于浏览器的密码管理器的局限性在于,它们只能在有围墙的花园里工作。如果你需要在另一个浏览器中运行,或者在那个浏览器无法到达的环境中运行,那你就太不幸了。”
密码管理器有更多的功能
Lurey列举了Chrome内置密码管理器不符合专用密码管理程序标准的一系列简单方法。首先,它是Chrome特有的;如果你使用另一个浏览器,你就麻烦了。没有安全共享密码的选项,也没有建立数字继承人为您收集密码。浏览器只存储密码,不存储个人信息,如地址、账号和信用卡。