别让谷歌管你的密码

专家说，用谷歌浏览器（或其他浏览器）来管理密码是个很不好的主意。原因如下。

尼尔·J·鲁本金 撰写

密码管理程序自90年代以来就已存在，主要浏览器在21世纪初就开始内置密码管理功能。自此以后，我们（PCMag）一直建议将密码从不安全的浏览器存储中取出，并放入一个适当的、充分保护的密码管理器中。当时，我们可以指出一些密码管理程序，它们可以从您的浏览器中提取并删除密码，并关闭浏览器自动保存密码的功能。这听起来确实让人担心！

幸運地說，瀏覽器已經做得更好了，不再那麼容易讓你的密碼被外人篡改。舉例來說，如果你想換個專門的密碼管理器，你可能需要自己把瀏覽器裡的密碼導出，再導進新的密碼管理器。

但是专家们认为，答案依然是否定的。具体来说，你是否应该使用集成在Chrome浏览器中的Google密码管理器？

对于一个构建于密码管理之上的公司而言，信任是至关重要的。真正靠谱的公司会使用零知识技术来保护你的加密数据，这样，确保没有密码管理公司、政府或其他任何人能知道你的主密码，更不用说解密你的数据。

即使如此，实施中的错误可能危及密码安全。从去年八月开始的一系列揭露中，我们得知黑客通过在一名关键LastPass员工的电脑上安装密钥记录器，窃取了未知数量的加密数据存储库。更糟的是，一些重要数据元素，例如登录域，并未被加密。现在很难再相信LastPass了。

KeePass（https://www.pcmag.com/reviews/keepass-234）是技术爱好者最喜爱的密码管理器，很大程度上归功于它无穷无尽的自定义可能性。然而，正是这种自定义能力成为了它的阿喀琉斯之踵（Achilles’ heel）。任何人只要能够使用远程访问特洛伊木马，或直接坐在你的电脑前，就可以从KeePass中窃取所有密码。这只需要在记事本中创建一个脚本，将密码导出为纯文本，然后通过互联网发送出去。虽然获取访问权限可能非常困难，但是这个漏洞是可行的，但现在已经被修复了。或者更准确地说，_曾经_是可行的。最新的KeePass更新（2.53.1版本）移除了无需输入主密码即可导出密码的选项。

在我们讨论是否应该使用Google密码管理器之前，让我们先回顾一下如何关闭它（或者启动它，如果你选择这么做的话）。首先，确保你在所有想要共享密码的Chrome浏览器中启用了同步功能。点击Chrome窗口右上角的三个点菜单，然后点击设置。左侧菜单中的第一个项目“你和谷歌”应该默认被选中；如果不是，请点击它。在弹出的对话框中，你可以开启或关闭同步。

（来源: Google）

现在点击自动填充（Autofill），在你和Google之间下面的位置，然后点击密码管理器按钮。如果你想使用Google的密码管理器功能，开启保存密码和自动登录的选项。如果不使用这些功能，关闭它们。

想了解更多，请阅读如何使用Google密码管理器。从安全角度来说，我们不建议这个做法；但是，我们知道有些人可能会为了方便而牺牲安全。

为了丰富自己的知识和经验，我联系了几位来自知名商用密码管理公司的专家，包括Keeper密码管理器的联合创始人兼CTO克雷格·卢雷、NordPass的首席技术官托马斯·斯马拉基斯、以及担任Bitwarden首席执行官的迈克尔·克兰德尔。

Smalakys 提醒大家不要使用浏览器的密码管理器，他表示：“尽管网络安全专家一再提醒浏览器密码管理器存在漏洞，网络用户仍然落入‘方便’的陷阱。”Lurey 同意，并提到一篇最近的 Keeper 博客文章列出了浏览器密码管理器为何不安全的各种原因。

零知识证明是专用密码管理器能在不接触您的主密码的情况下保护您的数据的原因。“谷歌的密码管理器则不使用零知识证明，”Lurey指出。“实际上，谷歌可以看到您保存的所有信息。它有一个可选功能，可以在设备上对密码进行本地加密，但即使启用了这个功能，解密密钥仍然存储在设备上。”

Smalakys也同意浏览器中存储的数据不像密码管理器中的数据那样受到保护。“黑客使用社会工程学技巧诱使互联网用户安装新的扩展插件，这些插件可以轻松提取浏览器中存储的数据，”他指出。他继续说道，“虽然把密码存到云上没问题，但公司必须确保在把数据存入云端之前进行加密。因此，互联网用户应选择提供从头到尾的加密服务的服务提供商。”

克兰戴尔对谷歌说了一点好听的话，说：“有密码管理器总比没有好。”，但是，他接着警告说：“基于浏览器的密码管理器的问题在于，它们只能在特定的浏览器环境下运行。如果你需要在另一个浏览器中操作，或者在一个该浏览器无法覆盖的环境中，你就没什么办法了。”

Lurey 列出了一些简单的方式，说明 Chrome 内置的密码管理器在哪些方面未能达到专用密码管理程序的标准。首先，它是特定于 Chrome 的；如果你使用其他浏览器，你就会遇到麻烦。没有安全共享密码的功能，也没有为你的密码集合设立 数字继承人 的功能。另外，浏览器只保存密码，而不保存地址、账号号码和信用卡等信息。

他指出，此类系统缺少安全地与同事和家人共享密码、支持生物识别登录及安全密钥、报告您的密码是否弱、是否重复使用，或是否已被泄露、以及与工作中的系统（如单点登录系统）集成等许多其他功能。浏览器中基于密码的系统也存在这一问题。

Smalakys 说：“许多浏览器不需要主密码或 多因素认证 (MFA) 批准。”谷歌确实支持 MFA，但并不强制使用。此外，也没有主密码。如果你离开办公桌时 Chrome 还开着，任何能接触到的人都可以登录你的账户。同样，如果你让别人用你的手机，也会遇到同样的情况。

“不要把自己局限在一个大公司的生态系统里，”Crandell 警告说。“保持在所有平台和环境中的自由工作很重要，无论是浏览器、移动应用还是桌面操作系统。

Smalakys 指出了关联账户的危险。“如果你使用 Chrome 浏览器，其安全性完全取决于关联的 Gmail 账户是否安全，”他说。“如果这个 Gmail 账户被破解，黑客可以轻松地访问浏览器中保存的所有其他账户的密码。”类似地，Lurey 指出，“用户必须完全信任 Google 来保护他们的数据。”如果你的 Google 账户被攻破，那么你的所有密码都将泄露。

浏览器的设计目的是用于浏览；密码管理则是一个后来才补上的功能。“专门的密码管理器都在努力打造既安全又经过独立审计的产品，以确保其安全性，”斯马拉基斯总结说。克兰德尔同样认为：“领先的密码管理器专注于100%实现最佳安全性和密码的各种应用场景，因此功能更全面。”

Google 密码管理器并没有使用端对端加密技术来保护密码数据，使其免受所有人（包括谷歌）的访问。它甚至没有使用主密码 (master password)。专门的密码工具提供了许多您在浏览器内置工具中无法享受到的功能。而且，您只能在 Chrome（或在某种程度上在 Android）中使用谷歌的密码管理功能。这就是为什么您应该使用真正的密码管理器而不是依赖于 Chrome 的几个原因。

谷歌密码管理器作为免费浏览器的一个免费功能，真是太方便了，这真是。但这并不是接受你密码的有限安全的好理由。我们评测过许多免费密码管理器如这些，它们能真正保护你的密码，同样是免费的——你可以试试这些中的任何一个。

最初发布于_ https://www.pcmag.com .