Google Şifre Yöneticisi Güvenli mi?
Şifreleriniz çevrimiçi varlığınızın anahtarıdır ve sosyal medya hesaplarınızın, ödeme portallarınızın, hatta belki de ev güvenlik sisteminizin kapılarını açar. Google’ın ücretsiz şifre yöneticisi aracı, diğer hizmetleriyle entegre olur ve şifrenize herhangi bir cihazdan erişmenize olanak tanır, ancak ne kadar güvenlidir ve rakipleriyle karşılaştırıldığında nasıldır?
Google Şifre Yöneticisi Nedir?
Bir Chromebook’unuz veya Android cihazınız varsa veya Google’ın Chrome Tarayıcısını kullanarak internette gezindiyseniz, muhtemelen Google şifre yöneticisiyle karşılaşmışsınızdır.
Herhangi bir web sitesine giriş bilgilerinizi girdiğinizde, “Şifreyi Kaydet” isteyip istemediğinizi soran bir bilgi istemi göreceksiniz. Genellikle iki seçeneğiniz vardır: “Kaydet” ve “Asla”.
“Kaydet”i tıkladıktan sonra aynı web sitesini ziyaret ederseniz Chrome, oturum açma bilgilerinizi, yani kullanıcı adınızı ve şifrenizi, hatırlamanıza gerek kalmadan doldurabilecektir.
Neden Google Şifre Yöneticisini Kullanmalı?
Tek kelimeyle basitlik. Zaten Google Chrome kullanıyorsanız entegre şifre aracını kullanmak mantıklı olacaktır.
Herhangi bir Chrome tarayıcısında oturum açabilir ve sanki kendi bilgisayarınızdaymış gibi web sitelerinde otomatik olarak oturum açabilirsiniz.
Chrome’da veya başka bir Google cihazında oturum açmış olsanız da olmasanız da kayıtlı şifreleri görmek için tarayıcınızda Google şifreleri alanını ziyaret edebilirsiniz. Çok kolay; yalnızca Google şifrenizi hatırlamanız yeterli.
Google Şifre Yöneticisi Şifrelerinizi Nerede Saklıyor?
Google hesabınıza giriş yaptıysanız, yerel olarak depolanan Chrome şifreleriniz, şifrelerle senkronize edilecektir. Google’ı seçin. Oturum açmadıysanız URL çubuğuna chrome://password-manager/passwords adresini girebilirsiniz.
Şifrelerinize URL girmeden erişmek için öncelikle Google Şifre Yöneticisi’ni yerel olarak yüklemeniz gerekir. Bunu yapmak için Chrome uygulamasının sağ üst köşesindeki menü simgesini tıklayın ve Google Şifre Yöneticisini Yükle… seçeneğini seçin, ardından istendiğinde Yükle’yi seçin.
Bundan sonra menüde Google Şifre Yöneticisi adı verilen yeni bir giriş olacaktır. Giriş bilgilerinize erişmek için buna tıklayabilirsiniz. Alternatif olarak masaüstünüzdeki yeni simgeye tıklayabilirsiniz.
Bir Windows makinesinde, kayıtlı Google giriş bilgilerinizi C:\Users\kullanıcı_adınız\AppData\Local\Google\Chrome\User Data\Default\Login Data konumunda bulunan bir sqlite dosyasında bulabilirsiniz.
Bu dosyayı özel bir Sqlite tarayıcısıyla veya Not Defteri ile açabilirsiniz; ancak ikinci seçeneği tercih ederseniz biçimlendirme tuhaf olur ve bazı karakterler okunamaz olur.
Bu dosyada kayıtlı şifreniz olan sitelerin adresini, kullanıcı adınızı veya e-posta adresinizi ve şifrelenmiş şifrenizi bulacaksınız.
Google Şifre Yöneticisi Ne Kadar Güvenli?
Google, dünyanın en büyük ve en güçlü teknoloji şirketlerinden biridir ve Google hesabınızda çok faktörlü kimlik doğrulamayı kullanırsanız, çevrimiçi olarak sakladığınız şifreler ve hesap ayrıntıları büyük olasılıkla gerçekten çok güvenli olacaktır.
Google, Wall Street Journal’ın bir API hatasının üç yıldan fazla bir süredir özel verileri açığa çıkardığını ortaya çıkardığı 2018’den bu yana kayda değer bir veri ihlali yaşamadı. Ancak bu veriler şifreleri içermiyordu.
Google Şifre Yöneticisinin ana güvenlik açığı bilgisayarınızda yatmaktadır ve saldırganların hesabınıza erişmesinin iki yolu vardır.
İlki şifre yöneticisi uygulamasını açmaktır. Saldırganın bunu yapabilmesi için makinenize fiziksel erişime ihtiyacı olacaktır ve sistem şifrenizi girmesi istendiğinde muhtemelen engellenecektir. Sistem şifrenizi kırmayı başarabilirlerse, tüm kullanıcı adılarınızı ve şifrelerinizi şifreleme olmadan indirebilirler.
İkinci olası sorun veritabanı dosyasıdır.
Bir hesabın güvenliğini ihlal etmek için saldırganın üç şeyi bilmesi gerekir: belirli bir hizmette bir hesabın mevcut olması, hesapla ilişkili kullanıcı adı ve şifre.
Bilgisayarınızdaki veritabanı dosyasında bu ilk iki faktör düz metin halindedir ve yalnızca parola şifrelenmiştir. Bir saldırgan bunu PC’nizden kopyalamayı başarırsa, boş zamanlarında kırılabilir. Kullanıcı adları ve hizmetlerle ilişkili şifre listeleri çevrimiçi pazarlarda da mevcuttur. Kimlik bilgilerinin ele geçirilip geçirilmediğini haveibeenpwned adresinden kontrol edebilirsiniz.
Aslında bir saldırganın makineye erişimi varsa dosyayı ele geçirmek zor değildir ve biz de dosyayı bir USB belleğe birkaç saniye içinde dışarı çıkarmak için kendimizi zamanladık. Alternatif olarak e-posta da işe yarayacaktır.
Saldırganlar dosyayı çalmak için bilgisayarınıza kötü amaçlı yazılım yüklemeyi de deneyebilir.
Özel Çevrimiçi Şifre Yöneticileri Google Şifre Yöneticisinden Daha mı Güvenli?
Çevrimiçi şifre yöneticileri büyüyen bir sektördür ve tüm şifrelerinizi şifrelenmiş bir kasada saklar ve güçlü, rastgele oluşturulmuş şifrelerin kullanımını teşvik eder. Bu kasalar genellikle bir ana parolayla korunur.
Bu güvenli bir çözüm gibi görünse de 2022 LastPass veri ihlali, gelişmiş saldırganların şifre kasalarını ve şifreleme anahtarlarını indirmelerinin mümkün olduğunu gösterdi; bu da onların tüm hesaplarınıza ve verilerinize kolay erişim sağlamasını sağladı. Aslında çok az şey kırılamaz, bu nedenle depolama yönteminiz ne olursa olsun, küçük de olsa riskler vardır.
Güvenli Şifre Yönetimi İçin En İyi Çözüm Yok
Kullanıcı adları ve parolalar suçlular için önemli bir hedeftir ve sizinkini güvende tutmak önemlidir. Ancak hiçbir şifre yönetim sistemi saldırılara karşı tamamen güvenli değildir. Olası bir çözüm, oturum açma URL’si (e-posta adresiniz) ve gizli bir ifade de dahil olmak üzere bir dizi parametreye dayalı olarak siteler için şifreler oluşturan durum bilgisi olmayan şifre yöneticileri kullanmaktır.