Análise do gerenciador de senhas do Google | Críticas confiáveis

Veredito

Embora seja melhor do que nada, você não deve usar o Google para armazenar suas senhas.

Introdução

O Google tem uma solução de gerenciamento de senhas, e isso ainda é o melhor que você pode dizer, apesar das atualizações graduais.

O Gerenciador de senhas do Google existe principalmente como um cofre da web que pode ser sincronizado com o armazenamento local em seu telefone Android e navegadores Chrome, fornecendo funcionalidade básica de preenchimento automático e salvamento automático para senhas da web, mas não é totalmente seguro, especialmente contra vetores de ataque locais, como familiares curiosos.

Observe que desde 2021o navegador Chromium de código aberto não pode mais sincronizar senhas com sua conta do Google e não requer autenticação para expô-las a qualquer pessoa com acesso ao navegador – nenhuma das melhorias de segurança mencionadas aqui se aplica a este navegador.

O Google agora oferece suporte ao sistema Passkey para logins de contas, um par de chaves de autenticação criptografadas secretas que permite fazer login em sua conta do Google com segurança e sem senha. Mas atualmente isso não está vinculado ao acesso ao seu banco de dados de senhas, tornando-o um ótimo exemplo da aparente relutância do Google em compartilhar recursos entre suas diferentes equipes e projetos de desenvolvimento.

Preços

O Gerenciador de senhas do Google está incluído gratuitamente em todas as contas do Google e Android. Embora seja melhor do que nada e o Google tenha gradualmente implementado melhorias úteis em seu serviço, ainda faltam os recursos de um gerenciador de senhas pago como Bitwarden e LastPass.

Você deve desabilitar ativamente o salvamento de senha ao mudar para outra solução de gerenciamento de senha. O Google facilita a exportação e a exclusão de todas as suas senhas em passwords.google.com.

Características

• Google usando criptografia desde 2020
• O Google não é especializado em segurança de senhas
• O cromo não está protegido

A criptografia no dispositivo significa que a criptografia forte (geralmente AES de 265 bits) é usada para tornar indecifráveis ​​as senhas salvas no seu computador ou telefone sem a senha mestra correta. Embora já tenha sido famoso por armazenar senhas de usuários em texto simples, o Google Password Manager tem criptografado senhas do Chrome desde 2020, usando uma chave mestra interna para garantir que estejam seguras quando em repouso em seus dispositivos. No entanto, isso não impede que alguém com acesso físico simplesmente abra seu navegador para dar uma olhada neles.

Após uma atualização de junho de 2022, o Google começou a implementar a criptografia no dispositivo para alguns usuários do Android, mas eles não estão muito bem protegidos. Ainda consegui acessar minhas senhas via Chrome no Android 13 usando apenas o PIN do meu telefone ou uma medida biométrica de baixa segurança – algo que confirmei usando um telefone com um leitor de impressão digital desatualizado que está bloqueado para aplicativos de alta segurança, como aplicativos bancários ou qualquer outro gerenciador de senhas.

Depois de acessar suas senhas pelo Chrome, você pode adicionar um atalho do gerenciador de senhas à tela inicial e até mesmo verificar a segurança de suas senhas armazenadas por meio de um recurso de verificação que analisa a força da senha.

A principal mudança para os usuários que optam pela criptografia no dispositivo é que eles terão que inserir sua senha do Google (ou responder a um desafio de login sem senha no dispositivo associado) sempre que quiserem acessar suas senhas. Isso certamente se aplica quando quero ver uma entrada de senha em meu cofre on-line, mas em meu último teste de agosto de 2023, ainda não precisei fazer nada de especial para visualizá-las nas senhas armazenadas do Chrome, embora não tivesse feito isso. Não autentiquei novamente minha conta do Google recentemente usando esse navegador.

Obviamente, é muito bem-vindo que o Google esteja tentando transformar seu gerenciador de senhas em algo mais funcional, mas o desenvolvimento tem sido dolorosamente lento e a segurança é perigosamente irregular. O recurso de notas que os usuários beta do Chrome viram em 2022 agora foi implementado para todos, e os recursos recentes de verificação de senha e atalho do gerenciador de senhas móveis são genuinamente úteis, mas o compartilhamento de senha ainda não apareceu. Nem expandiram as opções de autenticação para acesso de desktop à sua biblioteca de senhas.

Como o Google não é especializado em segurança de senhas, ele não faz um trabalho muito completo. As Perguntas frequentes sobre segurança do Chrome tornam isso claro que considera questões que exigem acesso físico ou um PC comprometido para serem exploradas como “ataques fisicamente locais” além de sua competência. Como resultado, tem demonstrado pouco interesse em resolver problemas persistentes e de longa data com Senhas do navegador Chrome (e Chromium) mantidas na memória em texto não criptografado.

É certo que isso requer acesso muito específico a um sistema para ser explorado, mas o tratamento de senhas na memória é um desafio que os gerenciadores de senhas mais sérios enfrentaram com vários graus de sucesso e documentaram explicitamente.

A abordagem do Google não é boa quando comparada à proteção por senha na memória e às medidas de eliminação de rivais como KeePass e Bitwarden. Atualmente não está claro como esta vulnerabilidade interage com o novo sistema de criptografia do dispositivo ou se continuará a ser considerada de baixa prioridade.

No momento, entre diferentes versões do Android, implementações de bloqueio de região e dispositivo e a retirada da API de sincronização do Chromium, é difícil para qualquer usuário individual saber se e quando terá acesso a novos recursos de segurança de senha.

Últimas ofertas