谷歌在Chrome中的“建议密码”功能有哪些问题？

Question

很长一段时间以来，我一直使用一种相当不安全的方法来拥有一系列不同的密码--在许多站点上，我都会使用相同的密码。出于随机(Ish)的原因，我会在一系列密码之间进行更改，并通过使用密码告诉我这个特定站点使用的大约6个密码中的哪个密码，将我在哪个站点上使用的密码存储在文本文件中。另外一个轻微的积极行动，以更加安全-我使用一个独特的电子邮件地址在每个网站我注册。

我想提高我的密码安全性-毕竟，我确实有一个LinkedIN帐户，以及其他一些有时被破坏的帐户，据普韦德说。

首先，我选择了一套新的密码，并开始更改我的一些帐户。然后意识到这只会把我带回原来的地方。所以我考虑了一下，现在已经开始使用Chrome的“建议密码”功能了。从那以后，我做了更多的思考--我认为我应该实际评估Chrome/ Google密码管理是否足够。

这似乎是相当安全的-我无法看到任何密码，直到我输入一个密码，我正在使用的设备。这让我对Chrome平台的安全性有了一定程度的信心。

我对p/w经理的基本要求是：

1. 安全
2. 在线同步(我每次使用3台以上的设备)。单人。天。(叹息)
3. 可以根据我的判断查看密码。这可以在我的手机上完成。(我有时会在一个新的设备，需要使用一个特定的密码。每周最多可达2-3次)
4. 理想情况下是免费的(开放或封闭源代码很好)

因此，尽管建议受到欢迎，但我的具体问题是：“如果我保护所有安装了Chrome并同步到我账户的设备，Chrome的密码管理是否是一个合理的安全级别？”

我在这里看到了以下两个答案：

谷歌保存的密码功能有多安全？

谷歌Chrome密码的撤销

第一个似乎表明是否有人进入你的gmail帐户-你的密码是一本开放的书。

第二个似乎表明，如果有人获得了对您的windows或macos或linux设备的物理访问，他们有相当大的机会能够强行进入您的商店。

这两个问题都是正确的吗？

至于使用Chrome作为密码管理器，我还需要考虑什么呢？

Answer 1

首先，StackExchange不是产品推荐的地方。在互联网上可以找到很多免费和付费的密码管理器。我想特别关注谷歌的密码存储功能，正如你所问的。

我想称赞您认识到您的安全性可以提高，这也是您问题的核心: Google密码存储比您目前的方法(基于CIA三合会)更好，原因如下：

• 你的密码是加密的(保密)
• 您可以在线访问和同步访问您的密码(可用性)
• Google存储有更好的选项来监视密码的更改(完整性)

谷歌的密码存储有你最初想要的所有东西。它是安全的，它能够在设备之间同步，你可以随意查看密码，而且功能是完全免费的。我认为您的问题更多的是关于它实际上有多安全，甚至可能与其他密码管理器相比。

就像“常规”密码管理器一样，您需要一个主密钥来访问您的密码存储。在这种情况下，您将需要访问您的谷歌帐户。我强烈建议您使用2FA和一个强大的主密码(长度是最重要的)来保护您的帐户。当您打开同步时，您的密码将保存到您的Google帐户。当您没有同步时，您的密码将在本地保存。

让我从您所链接的问题中直接得到一件事:密码管理器中的密码不是散列而是加密的，因为密码管理器的功能本身就是这样的。您需要能够看到并使用密码，因此不能对其进行散列。这对于所有密码管理器来说都是一样的，包括Google密码存储。

您所链接的另一个问题只适用于本地保存的密码，这一点您不必担心，因为您的密码将保存在您的Google帐户中，如前所述。

虽然ShayanKM的答案中所解释的风险是真的，你的关键风险是你的谷歌账户。只要你能很好地保护你的帐户，与其他密码管理器相比，使用谷歌密码存储就不会有太大的风险。唯一真正的区别可能是，您可能希望选择开放源码密码管理器，而Google密码存储不是。我将由你来决定这是否重要。

还有其他问题并不是Google特有的，比如软件中存在漏洞，或者没有保护设备的安全。请记住，密码管理器不一定要完美，他们必须比没有更好的密码管理器。。