Gestore delle password di Google è sicuro e protetto?

Le tue password sono le chiavi della tua esistenza online e aprono le porte ai tuoi account sui social media, ai portali di pagamento e forse anche al tuo sistema di sicurezza domestica. Lo strumento gratuito di gestione delle password di Google si integra con gli altri suoi servizi e ti consente di accedere alla tua password da qualsiasi dispositivo, ma quanto è sicuro e come si confronta con la concorrenza?

Che cos'è Gestore delle password di Google?

Se hai mai posseduto un Chromebook, un dispositivo Android o hai navigato sul Web utilizzando il browser Chrome di Google, probabilmente ti sei già imbattuto nel gestore delle password di Google.

Quando inserisci i tuoi dati di accesso su qualsiasi sito web, vedrai un messaggio che ti chiede se desideri "Salvare la password". In genere hai due opzioni: "Salva" e "Mai".

Dopo aver cliccato su "Salva", se visiti lo stesso sito, Chrome sarà in grado di inserire le tue credenziali di accesso, ovvero nome utente e password, senza che tu debba ricordarle.

Perché dovresti utilizzare il Gestore delle password di Google?

In una parola, semplicità. Se utilizzi già Google Chrome, è opportuno utilizzare lo strumento password integrato.

Puoi accedere da qualsiasi browser Chrome e accedere automaticamente ai siti web come se fossi sul tuo computer.

Per visualizzare le password salvate, indipendentemente dal fatto che tu abbia effettuato o meno l'accesso su Chrome o su un altro dispositivo Google, puoi visitare il dominio delle password di Google nel tuo browser. È semplice: devi solo ricordare la tua password Google.

Dove Gestore delle password di Google memorizza le tue password?

Se hai effettuato l'accesso al tuo account Google, le password Chrome archiviate localmente verranno sincronizzate su passwords.google.com. Se non hai effettuato l'accesso, puoi inserire chrome://password-manager/passwords nella barra degli URL.

Per accedere alle tue password senza inserire un URL, devi prima installare Google Password Manager localmente. Per fare ciò, fai clic sull'icona del menu in alto a destra nell'app Chrome e scegli Installa Gestore password Google..., Poi Installare quando richiesto.

Successivamente, ci sarà una nuova voce nel menu, chiamata Google Password Manager. Puoi cliccarci sopra per accedere alle tue credenziali di accesso. In alternativa, puoi fare clic sulla nuova icona sul desktop.

Su un computer Windows, puoi trovare le informazioni di accesso di Google salvate in un file sqlite situato in C:\Users\your_username\AppData\Local\Google\Chrome\User Data\Default\Login Data.

Puoi aprire questo file con un browser Sqlite dedicato o con Blocco note, anche se se scegli quest'ultima opzione, la formattazione sarà strana e alcuni caratteri saranno illeggibili.

In questo file troverai l'indirizzo dei siti per i quali hai una password salvata, il tuo nome utente o indirizzo email e la tua password crittografata.

Quanto è sicuro il Gestore delle password di Google?

Google è una delle aziende tecnologiche più grandi e potenti al mondo e se usi il multifattore l'autenticazione con il tuo account Google, è probabile che le password e i dettagli dell'account che memorizzi online siano molto sicuro davvero.

Google non subisce una violazione dei dati degna di nota dal 2018, quando giornale di Wall Street ha rivelato che un bug API esponeva dati privati ​​da più di tre anni. Questi dati non includevano tuttavia le password.

La principale vulnerabilità di Google Password Manager risiede nel tuo PC ed esistono due modi in cui gli aggressori potrebbero accedere al tuo account.

Il primo è aprire l'app di gestione delle password. Per fare ciò, l'aggressore richiederebbe l'accesso fisico al tuo computer e probabilmente verrebbe sventato quando gli verrà chiesto di inserire la password del tuo sistema. Se riescono a decifrare la password del tuo sistema, saranno in grado di scaricare tutti i tuoi accessi e le tue password senza crittografia.

Il secondo potenziale problema è il file di database.

Per compromettere un account, un utente malintenzionato deve sapere tre cose: che esista un account con un particolare servizio, il nome utente associato all'account e la password.

Nel file di database sul tuo PC, questi primi due fattori sono in testo normale e solo la password è crittografata. Se un utente malintenzionato riesce a copiarlo dal tuo PC, può essere violato a suo piacimento. Elenchi di password associate a nomi utente e servizi sono disponibili anche nei mercati online. Puoi controlla se le credenziali sono state compromesse su haveibeenpwned.

In realtà, impossessarsi del file non è difficile se un utente malintenzionato ha accesso alla macchina, e noi abbiamo cronometrato l'esfiltrazione del file su una chiavetta USB in pochi secondi. In alternativa, andrà bene la posta elettronica.

Anche gli aggressori potrebbero provarci inserire malware nel tuo PC per rubare il file.

I gestori di password online dedicati sono più sicuri del gestore di password di Google?

I gestori di password online sono un settore in crescita e archiviano tutte le tue password in un deposito crittografato e incoraggiano l'uso di password complesse e generate casualmente. Questi depositi sono generalmente protetti da una password principale.

Anche se questa può sembrare una soluzione sicura, il file Violazione dei dati LastPass del 2022 ha dimostrato che è possibile per gli aggressori sofisticati scaricare archivi di password e chiavi di crittografia, offrendo loro un facile accesso a tutti i tuoi account e dati. Molto poco è effettivamente inattaccabile, quindi ci sono rischi, per quanto lievi, indipendentemente dal metodo di archiviazione.

Non esiste la soluzione migliore per la gestione sicura delle password

I nomi utente e le password sono un obiettivo importante per i criminali ed è importante mantenerli protetti e al sicuro. Ma nessun sistema di gestione delle password è completamente sicuro dagli attacchi. Una possibile soluzione è utilizzare gestori di password stateless che generano password per i siti in base a una serie di parametri tra cui l'URL di accesso, l'indirizzo e-mail e una frase segreta.