Bien que ce soit mieux que rien, vous ne devriez pas utiliser Google pour stocker vos mots de passe.
Avantages
- Déjà intégré à Android et Chrome
- Google déploie lentement le chiffrement sur l’appareil
- (Probablement) mieux que rien
Les inconvénients
- Déjà intégré à Android et Chrome
- Options de sécurité très limitées
- Disponibilité incohérente des nouvelles fonctionnalités de gestion des mots de passe
- Google a déclaré que la sécurité « physiquement locale » n’est pas une priorité
Principales caractéristiques
-
SécuritéLes mots de passe sont cryptés à l’aide d’AES-256, Google stocke une clé dans votre compte. Depuis juin 2022, Google propose à certains utilisateurs un chiffrement sur l’appareil, associé au mot de passe de votre compte Google
Introduction
Google propose une solution de gestion des mots de passe, et c’est généralement ce que vous pouvez dire de mieux, mais des changements sont en cours.
Google Password Manager existe en tant que coffre-fort Web qui peut être synchronisé avec votre téléphone Android et les navigateurs Chrome, fournissant des mots de passe Web de base de remplissage automatique et d’enregistrement automatique.
Notez que depuis 2021le navigateur open source Chromium ne peut plus synchroniser les mots de passe avec votre compte Google et ne nécessite aucune authentification pour les exposer à toute personne ayant accès au navigateur.
Suite à une mise à jour de juin 2022, Google a commencé à déployer le chiffrement sur l’appareil pour certains utilisateurs. Malheureusement, la fonctionnalité opt-in n’avait encore atteint aucun de mes comptes de test au moment de cet examen, je vais donc donner un aperçu des fonctionnalités à venir parallèlement à l’ensemble de fonctionnalités actuellement à ma disposition.
Tarification
Google Password Manager est inclus dans tous les comptes Google et Android.
Vous devez désactiver activement l’enregistrement du mot de passe lorsque vous passez à une autre solution de gestion des mots de passe. Google facilite l’exportation puis la suppression de tous vos mots de passe via passwords.google.com.
Fonctionnalités
- Google utilise le cryptage depuis 2020
- Google n’est pas spécialisé dans la sécurité des mots de passe
- Plus de fonctionnalités à venir
Le cryptage sur l’appareil signifie qu’un cryptage fort (généralement AES 265 bits) est utilisé pour rendre les mots de passe enregistrés sur votre ordinateur ou votre téléphone indéchiffrables sans le mot de passe principal correct.
Bien qu’il ait été autrefois connu pour stocker les mots de passe des utilisateurs en texte brut, Google Password Manager chiffre en fait les mots de passe Chrome depuis 2020, en utilisant une clé principale interne pour garantir qu’ils sont sécurisés lorsqu’ils sont au repos sur vos appareils. Cependant, cela n’empêche pas une personne ayant un accès physique d’ouvrir simplement votre navigateur pour y jeter un coup d’œil.
Le principal changement pour les utilisateurs qui optent pour le chiffrement sur l’appareil est qu’ils devront saisir leur mot de passe Google (ou répondre à un défi de connexion sans mot de passe sur leur appareil associé) chaque fois qu’ils souhaitent accéder à leurs mots de passe.
Actuellement, je dois m’authentifier chaque fois que je veux consulter une entrée de mot de passe dans mon coffre-fort en ligne, mais pas si je veux les afficher dans l’entrée Mots de passe enregistrés de mon navigateur.
Il est évidemment très bienvenu que Google essaie de développer son gestionnaire de mots de passe en quelque chose de plus fonctionnel. Les rapports des utilisateurs de la version bêta de Chrome indiquent que nous pourrions voir des fonctionnalités telles que les notes et le partage de mot de passe à l’avenir.
Cependant, comme Google n’est pas spécialisé dans la sécurité des mots de passe, il ne fait pas un travail très approfondi. La FAQ sur la sécurité de Chrome en fait dégager qu’il considère les problèmes qui nécessitent un accès physique ou un PC compromis à exploiter comme des « attaques physiquement locales » au-delà de ses attributions. En conséquence, il s’est montré peu intéressé à résoudre les problèmes persistants de longue date avec Les mots de passe des navigateurs Chrome (et Chromium) sont conservés en mémoire en texte clair.
Certes, cela nécessite un accès très spécifique à un système à exploiter, mais la gestion des mots de passe en mémoire est un défi que les gestionnaires de mots de passe plus sérieux ont relevé avec plus ou moins de succès et explicitement documenté.
L’approche de Google n’est pas attrayante par rapport à la protection par mot de passe en mémoire et aux mesures de purge de concurrents tels que KeePass et Bitwarden. On ne sait pas actuellement comment cette vulnérabilité interagit avec le nouveau système de chiffrement sur l’appareil, ou si elle continuera à être considérée comme de faible priorité.
À l’heure actuelle, entre les différentes versions d’Android, les déploiements de régions et d’appareils verrouillés et le retrait de l’API de synchronisation de Chromium, il est difficile pour un utilisateur individuel de dire si et quand il aura accès aux nouvelles fonctionnalités de sécurité par mot de passe.
Faut-il l’acheter ?
Si vous recherchez la commodité
Il est certainement pratique d’enregistrer et de synchroniser les mots de passe sur vos navigateurs et appareils Google. C’est mieux que de n’utiliser aucun type de gestion de mot de passe, mais pire que la plupart des alternatives.
Si vous avez besoin d’une sécurité sophistiquée et personnalisable
Veuillez utiliser un autre gestionnaire de mots de passe. Ils ont de meilleures fonctionnalités et mesures de sécurité.
Dernières pensées
De nombreuses personnes utilisent le service intégré de Google pour stocker leurs mots de passe. Toute amélioration de Google Password Manager est donc extrêmement importante et je suis ravi de les voir. Mais en tant que personne soucieuse de la sécurité, vous devez utiliser un gestionnaire de mots de passe dédié tel que Bitwarden, 1Password, NordPass, LastPass ou Dashlane.
