Urteil

Contents
UrteilVorteileNachteileHauptmerkmaleEinführungPreisgestaltungMerkmaleSolltest du es kaufen?Abschließende Gedanken

Obwohl es besser als nichts ist, sollten Sie Google nicht zum Speichern Ihrer Passwörter verwenden.

Vorteile

  • Bereits in Android und Chrome integriert
  • Google führt langsam die Verschlüsselung auf dem Gerät ein
  • (Wohl) besser als nichts

Nachteile

  • Bereits in Android und Chrome integriert
  • Sehr begrenzte Sicherheitsoptionen
  • Inkonsistente Verfügbarkeit neuer Kennwortverwaltungsfunktionen
  • Google hat erklärt, dass „physisch-lokale“ Sicherheit keine Priorität hat

Hauptmerkmale


  • SicherheitPasswörter werden mit AES-256 verschlüsselt, Google speichert einen Schlüssel in Ihrem Konto. Ab Juni 2022 bietet Google einigen Nutzern eine geräteinterne Verschlüsselung an, die mit dem Passwort Ihres Google-Kontos verknüpft ist

Einführung

Google hat eine Passwortverwaltungslösung, und das war im Allgemeinen das Beste, was man dafür sagen kann – aber Änderungen sind im Gange.

Google Password Manager existiert als Web-Tresor, der mit Ihrem Android-Telefon und Chrome-Browsern synchronisiert werden kann und grundlegende Funktionen zum automatischen Ausfüllen und automatischen Speichern von Web-Passwörtern bereitstellt.

Beachten Sie, dass seit 2021kann der Open-Source-Chromium-Browser Passwörter nicht mehr mit Ihrem Google-Konto synchronisieren und erfordert keine Authentifizierung, um sie jedem mit Zugriff auf den Browser anzuzeigen.

Nach einem Update vom Juni 2022 hat Google damit begonnen, die Geräteverschlüsselung für einige Nutzer einzuführen. Leider hatte die Opt-in-Funktion zum Zeitpunkt dieser Überprüfung noch keines meiner Testkonten erreicht, daher werde ich neben dem aktuellen Funktionsumfang, der mir zur Verfügung steht, einen Überblick über kommende Funktionen geben.

Preisgestaltung

Google Password Manager ist in allen Google- und Android-Konten enthalten.

Sie sollten die Passwortspeicherung aktiv deaktivieren, wenn Sie zu einer anderen Passwortverwaltungslösung wechseln. Google macht es einfach, alle Ihre Passwörter über passwords.google.com zu exportieren und dann zu löschen.

Merkmale

  • Google verwendet Verschlüsselung seit 2020
  • Google ist nicht auf Passwortsicherheit spezialisiert
  • Weitere Funktionen folgen in der Zukunft

Verschlüsselung auf dem Gerät bedeutet, dass eine starke Verschlüsselung (normalerweise 265-Bit-AES) verwendet wird, um Passwörter, die auf Ihrem Computer oder Telefon gespeichert sind, ohne das richtige Master-Passwort unlesbar zu machen.

Obwohl es einst dafür berüchtigt war, Benutzerpasswörter im Klartext zu speichern, verschlüsselt Google Password Manager seit 2020 Chrome-Passwörter und verwendet einen internen Hauptschlüssel, um sicherzustellen, dass sie sicher sind, wenn sie auf Ihren Geräten gespeichert sind. Dies hält jedoch jemanden mit physischem Zugriff nicht davon ab, einfach Ihren Browser zu öffnen, um sie sich anzusehen.

Die wichtigste Änderung für Benutzer, die sich für die Verschlüsselung auf dem Gerät entscheiden, besteht darin, dass sie ihr Google-Passwort eingeben müssen (oder auf eine passwortlose Anmeldeaufforderung auf ihrem zugehörigen Gerät antworten), wenn sie auf ihre Passwörter zugreifen möchten.

Derzeit muss ich mich authentifizieren, wenn ich einen Passworteintrag in meinem Online-Tresor einsehen möchte, aber nicht, wenn ich sie im Eintrag „Gespeicherte Passwörter“ meines Browsers anzeigen möchte.

Weboberfläche des Google Passwort-Managers

Es ist natürlich sehr begrüßenswert, dass Google versucht, seinen Passwort-Manager funktionaler zu entwickeln. Berichte von Chrome-Beta-Benutzern deuten darauf hin, dass wir in Zukunft möglicherweise Funktionen wie Notizen und Passwortfreigabe sehen werden.

Da Google jedoch nicht auf Passwortsicherheit spezialisiert ist, leistet es keine sehr gründliche Arbeit. Die häufig gestellten Fragen zur Chrome-Sicherheit machen es möglich klar dass es Probleme, die einen physischen Zugriff oder einen kompromittierten PC erfordern, als „physisch-lokale Angriffe“ betrachtet, die außerhalb seiner Zuständigkeit liegen. Infolgedessen zeigt es wenig Interesse daran, anhaltende, langjährige Probleme zu beheben Chrome- (und Chromium-) Browserkennwörter werden im Klartext gespeichert.

Zugegebenermaßen erfordert dies einen sehr spezifischen Zugriff auf ein auszunutzendes System, aber die Handhabung von Passwörtern im Speicher ist eine Herausforderung, die ernsthaftere Passwort-Manager mit unterschiedlichem Erfolg angegangen und explizit dokumentiert haben.

Der Ansatz von Google sieht im Vergleich zum In-Memory-Passwortschutz und den Löschmaßnahmen von Konkurrenten wie KeePass und Bitwarden nicht gut aus. Es ist derzeit nicht klar, wie diese Schwachstelle mit dem neuen geräteinternen Verschlüsselungssystem interagiert oder ob sie weiterhin als niedrigprior eingestuft wird.

Im Moment ist es zwischen verschiedenen Android-Versionen, regionalen und gerätegesperrten Rollouts und dem Rückzug der Synchronisierungs-API von Chromium für jeden einzelnen Benutzer schwer zu sagen, ob und wann er Zugriff auf neue Passwortsicherheitsfunktionen erhält.

Solltest du es kaufen?

Wenn Sie Komfort suchen

Es ist sicherlich praktisch, Passwörter zwischen Ihren Google-Browsern und -Geräten zu speichern und zu synchronisieren. Es ist besser, überhaupt keine Passwortverwaltung zu verwenden, aber schlechter als die meisten Alternativen.

Wenn Sie anspruchsvolle und anpassbare Sicherheit benötigen

Bitte verwenden Sie einen anderen Passwort-Manager. Sie haben bessere Funktionen und Sicherheitsmaßnahmen.

Abschließende Gedanken

Viele Leute verwenden den integrierten Dienst von Google, um ihre Passwörter zu speichern, daher sind alle Verbesserungen am Google Password Manager enorm wichtig und ich freue mich, sie zu sehen. Aber als jemand, der sich um Sicherheit kümmert, sollten Sie einen dedizierten Passwort-Manager wie Bitwarden, 1Password, NordPass, LastPass oder Dashlane verwenden.