您的密码是进入网络世界的钥匙,它可以开启您在社交媒体、支付平台,甚至是家庭安全系统的大门。谷歌的免费密码管理工具与其众多服务紧密结合,让您可以在任何设备上便捷访问密码。那么,它的安全性究竟如何?与竞争对手相比,它的表现又如何呢?
什么是 Google 密码管理器?
如果您使用过 Chromebook、安卓设备,或者用谷歌 Chrome 浏览器上网,您可能已经体验过 Google 密码管理器的功能。
当您在任何网站上输入登录信息时,系统会弹出提示,询问您是否要“保存密码”。通常,您会看到两个选项:“保存”和“从不”。
点击“保存”后,当您下次访问同一网站时,Chrome 就可以自动填写您的登录凭据,包括用户名和密码,免去您记忆的烦恼。
为什么应该使用 Google 密码管理器?
简而言之,它非常方便。如果您已经在使用谷歌 Chrome 浏览器,那么使用其内置的密码管理工具是很自然的选择。
您可以在任何 Chrome 浏览器上登录,并且像在自己的电脑上一样,自动登录各个网站。
无论您是否登录 Chrome 或其他谷歌设备,您都可以在浏览器中访问 Google 密码管理页面查看保存的密码。操作非常简单,您只需记住您的谷歌账号密码即可。
Google 密码管理工具在哪里存储您的密码?
如果您登录了谷歌账户,您在本地 Chrome 浏览器中保存的密码会同步到 passwords.google.com。 如果您尚未登录,可以在地址栏中输入 chrome://password-manager/passwords 来访问。
如果您想在不输入网址的情况下访问您的密码,首先需要在本地安装 Google 密码管理器。在 Chrome 浏览器右上角点击菜单图标,选择“安装 Google 密码管理器…”,然后在弹出提示时选择“安装”。
安装后,菜单中会出现一个新的条目,名为 Google 密码管理器。您可以点击此按钮来查看您的登录凭据。或者,您也可以点击桌面上的新图标。
在 Windows 电脑上,您可以在 C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data 目录下的 sqlite 文件中找到保存的 Google 登录信息。
您可以使用专门的 Sqlite 浏览器或记事本打开这个文件。如果您选择后者,格式会显得杂乱,并且部分字符可能无法正常显示。
在这个文件中,您会找到您已保存密码的网站地址、您的用户名或电子邮件地址以及加密的密码。
Google 密码管理器的安全性如何?
谷歌是全球规模最大、实力最强的科技公司之一。如果您为谷歌账户启用了多重身份验证,那么您在线存储的密码和账户信息可能会非常安全。
自 2018 年以来,谷歌没有发生过重大的数据泄露事件。《华尔街日报》曾报道称,API 错误导致私人数据泄露长达三年之久,但这些数据并不包括密码。
Google 密码管理器的主要安全隐患在于您的个人电脑。攻击者可以通过两种方式访问您的账户。
第一种是打开密码管理器应用程序。攻击者需要实际接触到您的电脑才能进行此操作,而且当系统要求输入密码时,他们很可能会被阻止。如果他们成功破解了您的系统密码,就可以在不加密的情况下下载您的所有登录名和密码。
第二个潜在问题是数据库文件。
要攻破账户,攻击者需要知道三件事:账户所属的特定服务、与该账户关联的用户名以及密码。
在您电脑上的数据库文件中,前两个要素是明文显示,只有密码是加密的。如果攻击者设法从您的电脑复制这个文件,就可以相对容易地破解它。与用户名和服务相关的密码列表也可以在在线市场上找到。您可以在 haveibeenpwned 网站上检查您的凭据是否已被泄露。
实际上,如果攻击者能够访问您的计算机,获取该文件并不困难,我们可以在几秒钟内将其复制到 USB 驱动器,或者通过电子邮件发送出去。
攻击者还可能尝试在您的电脑上安装恶意软件来窃取文件。
专用在线密码管理器比 Google 密码管理器更安全吗?
在线密码管理器是一个蓬勃发展的行业,它们将您的所有密码存储在加密的保险库中,并鼓励您使用随机生成的强密码。这些保险库通常由一个主密码保护。
尽管这看起来是一个安全的解决方案,但 2022 年的 LastPass 数据泄露事件表明,经验丰富的攻击者有可能下载密码库和加密密钥,从而轻易访问您的所有帐户和数据。 实际上,很少有东西是绝对无法破解的,因此,无论您采用哪种存储方式,都存在风险,只是风险大小不同而已。
安全密码管理没有最佳解决方案
用户名和密码是网络犯罪分子的主要目标,确保您的安全至关重要。但没有哪个密码管理系统能完全避免攻击。一个可能的解决方案是使用无状态密码管理器,它会根据多个参数(包括登录 URL、电子邮件地址和秘密短语)生成网站密码。